記事本文(要約)
ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、ウクライナの機関を標的とした情報窃取マルウェアを用いたサイバー攻撃を公表しました。この攻撃は、フィッシングメールでマクロに対応したExcelファイルを送り、開くとPowerShellスクリプトと新たな情報窃取ツールGIFTEDCROOKを展開します。GIFTEDCROOKは、C/C++で書かれ、ブラウザからの認証データやクッキーなどの機密情報を盗むことができます。メールは信頼性を装うため、ハッキングされたアカウントから送信されています。この活動は、特定の国には結びつけられませんが、活動をUAC-0226として追跡しています。また、ロシア関連とされるUNC5837が、欧州の政府や軍事機関を標的にしたフィッシング活動を行っており、リモートデスクトッププロトコル(RDP)を使った攻撃を通じて、ファイルの窃取やクリップボードの捕捉を行っていると報告されました。さらに、フィッシングキャンペーンでは、CAPTCHAを利用してマルウェアを展開する手口も確認されています。これらの活動は、攻撃者が多量の機密情報を収集することを目的としているとみられています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 08 Apr 2025 15:42:00 +0530
Original URL: https://thehackernews.com/2025/04/uac-0226-deploys-giftedcrook-stealer.html
詳細な技術情報
- 脆弱性の仕組み 攻撃は主に以下の要素で構成されています:
- 1. フィッシングメール:不正な内容を含むMicrosoft Excelのマクロ有効化スプレッドシート(XLSM)が添付されている。
- 2. マルウェア展開:マクロが有効になると、自動的に2つのマルウェアが展開される。
- PowerShellスクリプト:「PSSW100AVB」というGitHubリポジトリから取得され、リバースシェルを開く。
- 未文書化の情報窃取マルウェア「GIFTEDCROOK」。
- 攻撃手法
- メールの偽装:攻撃は侵害されたアカウントを利用してメールを送信し、信ぴょう性を高める。
- 二重感染:マクロを通じてPowerShellスクリプトと情報窃取マルウェアを同時に展開。
- リバースシェルの開設:PowerShellを用いて攻撃者が遠隔からシステムを操作可能にする。
- RDPの悪用:UNC5837によるフィッシングキャンペーンは、サインされた.RDPファイルを用いて、リソースのリダイレクションやRemoteAppsを利用する。
- 潜在的な影響
- 情報窃取:ブラウザからクッキー、閲覧履歴、認証データを含む重要な情報を盗む。
- システムの完全制御:リバースシェルにより、攻撃者がシステムの遠隔操作を可能にし、潜在的に機密データの流出を引き起こす。
- 持続的な監視とデータ収集:UNC5837はスパイ行為とファイルの窃取を主目的としており、持続的な情報収集が懸念される。
- 推奨される対策
- 1. メールセキュリティ対策:フィッシングメールフィルタリングを強化し、マクロが有効化されないようにする。
- 2. PowerShellの監視と制限:PowerShellのスクリプト実行を制限し、ログを詳しく監視する。
- 3. 多層防御の実施:RDP接続の多要素認証を導入し、サインされたファイルに特別な注意を払う。
- 4. セキュリティ意識の向上:従業員にフィッシングメールの識別と報告の方法を教育する。
- 5. ソフトウェア更新:常にシステムおよびアプリケーションを最新状態に保つ。
