Microsoftはこのほど、「Storm-0978 attacks reveal financial and espionage motives|Microsoft Security Blog」において、ヨーロッパおよび北米の防衛および政府機関を狙うフィッシングキャンペーンを特定したと伝えた。「Storm-0978」(別名DEV-0978、RomCom)と呼ばれる脅威グループによるキャンペーンが発見されており、CVE-2023-36884として追跡されている脆弱性が積極的に悪用されていることがわかった。

  • Storm-0978 attacks reveal financial and espionage motives|Microsoft Security Blog

    Storm-0978 attacks reveal financial and espionage motives|Microsoft Security Blog

Storm-0978はロシアを拠点とするサイバー犯罪グループ。ランサムウェアを使用したサイバー犯罪のほか、諜報活動の支援を目的とした標的型認証情報収集キャンペーンを展開することで知られている。「RomCom」と呼ばれるバックドアの開発・配布・操作を行っていることでも知られている。

Storm-0978によるサイバー攻撃は、主にトロイの木馬化した正規ソフトウェアを使用して組織に侵入し、RomComをシステムにインストールさせることから始まる。最新のキャンペーンでは、CVE-2023-36884を悪用してRomComに類似したバックドアを配信するフィッシング攻撃を展開していることがわかった。

主にウクライナの政府組織や軍事組織、ウクライナ問題に関与するヨーロッパや北米の組織に対する標的型攻撃とみられており、特に電気通信業界や金融業界などに影響を与えていると報告されている。

CVE-2023-36884はリモートコード実行(RCE: Remote Code Execution)の脆弱性で、悪意のあるMicrosoft Officeドキュメントとこの欠陥を悪用することでリモートコードを不正に実行することを可能にしている。CVE-2023-36884に関してはMicrosoftから緩和策が公開されており、WindowsおよびOfficeユーザーは内容を確認するとともに緩和策を実施することが推奨されている(参考「2023年7月マイクロソフトセキュリティ更新プログラムに関する注意喚起」)。