記事本文(要約)
脅威グループ「Paper Werewolf」(別名Goffee)は、新たなマルウェア「PowerModul」を使用して、ロシアの組織を狙い、フラッシュドライブから機密ファイルを盗んでいます。このマルウェアは、PowerShellスクリプトを用いて指令サーバーから他のコンポーネントをダウンロードする「PowerModul」を使用し、特にリムーバブルメディアを対象としています。
主なコンポーネントには、フラッシュドライブからファイルを盗む「FlashFileGrabber」や、接続されたフラッシュドライブを感染させる「USB Worm」が含まれます。この脅威グループは、2024年7月から12月にかけてマスメディア、通信、建設、政府機関、エネルギー部門を標的にして活動していました。
ロシアのサイバーセキュリティ企業BI.ZONEによれば、Paper Werewolfは少なくとも7回のキャンペーンを実施し、主に政府、エネルギー、金融、メディア組織を狙っていました。過去には、ロシアの法執行機関や規制機関を装ったフィッシングメールを使い、悪意のある書類で攻撃を仕掛けていました。サイバー諜報を主目的としつつ、破壊的な攻撃も行っているとされています。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 11 Apr 2025 19:42:08 GMT
Original URL: https://www.darkreading.com/threat-intelligence/paper-werewolf-targets-flash-drives-new-malware
詳細な技術情報
- 脆弱性の仕組み
- Paper Werewolf(別名Goffee)が使用するマルウェア「PowerModul」は、PowerShellスクリプトを使用したダウンローダーです。このスクリプトは、コマンドアンドコントロール(C&C)サーバーから追加のコンポーネントを秘密裏にダウンロードする機能を持っています。
- 攻撃手法
- リムーバブルメディアのターゲティング: FlashFileGrabberがUSBドライブからファイルを盗み出し、ローカルディスクにコピーします。
- ワーム機能: USB WormがPowerModulを広め、接続されたUSBドライブを感染させます。
- フィッシングメール: 過去のキャンペーンでは、フィッシングメールに悪意ある添付ファイルを含め、犠牲者を引き込んでいました。これらはPDFやWordドキュメントに偽装された実行可能ファイルを含んでいます。
- バックドアの利用: Owowaバックドアの改造版を使用して、アクセスを維持したり、資格情報を変更したりしています。
- 潜在的な影響
- センスティブなファイルの漏洩により、被害を受けた組織の機密情報が第三者に渡る危険性があります。
- USBドライブを介して組織内、あるいは他のネットワークへマルウェアの拡散が起こり、セキュリティインシデントを引き起こす可能性があります。
- 資格情報の変更や破壊行動により、組織の業務運用に重大な支障をきたす場合があります。
- 推奨される対策
- 1. セキュリティパッチの適用: 最新のソフトウェアパッチを適用し、脆弱性を可能な限り低減します。
- 2. マルウェア対策ソフトウェアの使用: 高度な脅威防止機能を持つマルウェア対策ソフトを導入し、定期的にスキャンを実施します。
- 3. USBポートの制御: リムーバブルメディアの使用を制限し、必要に応じて厳格なポリシーを設定します。
- 4. 従業員の教育: フィッシングメールの識別方法や安全なデジタル行動に関する定期的なトレーニングを行います。
- 5. アクセス制御と監視: ネットワークおよびシステムへのアクセスを監視し、不審な活動を検知する能力を強化します。
