Cisco Talos Intelligence Groupは7月21日(現地時間)、「Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Attackers target Ukraine using GoMet backdoor」において、ウクライナの大手ソフトウェアベンダーを標的とするバックドアを用いたサイバー攻撃が確認されたことを伝えた。

この攻撃ではオープンソースの「GoMet」と呼ばれるバックドアソフトウェアが用いられており、現時点では攻撃者は特定できていないものの、Talosではロシアの脅威アクターが関与している可能性が高いと考えているという。

GoMetはGo言語で記述されたバックドアソフトウェアで、ファイルのアップロードやダウンロード、任意のコマンドの実行、他のネットワークやシステムへの横展開、侵害したシステムのリモート制御といった機能を備えている。今回の攻撃では、オリジナルのGoMetに対してわずかに変更が加えられたバージョンが使用されていたとのこと。具体的には、cronジョブが1時間間隔から2秒間隔に変更されていることと、C2(コマンド&コントロール)サーバに接続できない場合に5〜10分のランダムな時間だけスリープすることが挙げられている。

  • 改変版のGoMetを使用した攻撃フローの例(出典: Cisco Talos Intelligence Group)

    改変版のGoMetを使用した攻撃フローの例 出典: Cisco Talos Intelligence Group

標的となった会社は、ウクライナ国内のさまざまな組織で使用されるソフトウェアを提供している。現時点ではこの攻撃の成功は確認されていないものの、攻撃者の意図はこの会社が開発しているソフトウェアを対象としたサプライチェーンスタイルの攻撃であった可能性が否定できないとTalosは分析している。そのため、もし攻撃が成功した場合はウクライナ全土の組織に広範囲に影響を及ぼす危険性がある。

ロシアによるウクライナへの侵攻が開始されて以来、ロシア政府またはそれを支援する脅威アクターによるウクライナの組織へのサイバー攻撃が相次いで確認されている。Talosによれば、今回の攻撃ではサンプルを難読化や新しい永続化手法の利用、ツールの検出を防ぐための積極的な措置などが講じられていることから、これまでの攻撃と同様に背後にはロシアに関連するグループがいると確信しているという。Talosのレポートには、今回使用されたGoMetによる攻撃を検出およびブロックするための方法や、侵入の痕跡(IoC: Indicator of Compromise)などの情報もまとめられている。