Security Affairsは3月28日、「GhostWriter APT targets state entities of Ukraine with Cobalt Strike Beacon」において、「GhostWriter」と呼ばれるサイバー攻撃グループがウクライナの政府機関を標的としたスピアフィッシングキャンペーンを実施しているという、ウクライナCERT(CERT-UA: Computer Emergency Response Team of Ukraine)の警告について伝えた。GhostWriterはベラルーシの支援を受けているとされているグループで、今回のキャンペーンでは「Cobalt Strike Beacon」と呼ばれるマルウェアの配布が行われているという。

Cobalt Strikeは本来は正規のセキュリティテストツールだが、サイバー攻撃への耐性をテストするために標的マシンへの侵入をシミュレートする機能が含まれている。特にCobalt Strike Beaconと呼ばれる機能は、標的マシンに設置して攻撃のペイロードとして使用できるため、サイバー攻撃者がこのツールを悪用するケースが多発している。

今回報告されたキャンペーンでは、電子メールの添付ファイルとして「Saboteurs.rar」というRARアーカイブが送られたという。このRARアーカイブには悪意のある.NETプログラムを作成して実行するVBScriptコードが含まれている。この攻撃チェーンは、最終的に標的のマシンにCobalt Strike Beaconを設置し、侵害を永続化する。

  • GhostWriterによるCobalt Strike Beaconを配布する攻撃チェーンの例(引用:CERT-UA)

    GhostWriterによるCobalt Strike Beaconを配布する攻撃チェーンの例 引用:CERT-UA

GhostWriterの関与は、攻撃に使用されたVBScriptのコードから判明したという。GhostWriterは過去の攻撃活動からベラルーシ政府と関連していることが明らかになっている。GhostWriterによるキャンペーンではソーシャルネットワークは使われず、代わりにニュースサイトの侵害されたCMSや偽装された電子メールアカウントが利用される傾向にあるという。

CERT-UAのアドバイザリには、今回のキャンペーンで使用されたマルウェアの侵入の痕跡(IoC)なども掲載されている。

  • 今回のキャンペーンで確認されたマルウェアの侵入の痕跡(IoC)(引用:CERT-UA)

    今回のキャンペーンで確認されたマルウェアの侵入の痕跡(IoC) 引用:CERT-UA