ウクライナコンピューター緊急対応チーム (CERT-UA: Computer Emergency Response Team of Ukraine)は5月23日(現地時間)、「CERT-UA」において、不正アクセスを目的として、偽のゲーム「マインスイーパー(Minesweeper)」を配布するサイバー攻撃のキャンペーンを確認したと発表した。このキャンペーンは脅威グループ「UAC-0188」によって実行されたとみられている。

  • CERT-UA

    CERT-UA

侵害経路

このキャンペーンでは送信元アドレスとして「@patient-docs-mail.com」を名乗るメールが使用される。メールにはDropboxへのリンクが記載されており、アクセスするとAdobe PDFファイルのアイコンを使用する実行可能ファイルがダウンロードされる。この実行可能ファイルが悪意のあるマインスイーパー本体とされる。

  • 侵害経路 - 引用:CERT-UA

    侵害経路 引用:CERT-UA

悪意のあるマインスイーパー

悪意のあるマインスイーパーはPythonで記述され、PyInstallerでバイナリに変換された実行可能ファイルとされる。拡張子は通常の「.exe」ではなく、スクリーンセーバー用の「.scr」が使用される。

CERT-UAの分析によると、この悪意のあるマインスイーパーには、正規のゲームコードと、Base64でエンコードされた28MBの文字列が含まれるという。マインスイーパーを起動すると、リモートから悪意のあるコードの一部がダウンロードされ、Base64でエンコードされていた文字列と結合して暗号化されたZIPファイルが構築される。

次にZIPファイルを解凍し、攻撃者が利用できるように設定された正規の遠隔監視ソフトウェア「SuperOps RMM」のインストーラーを抽出して実行する。SuperOps RMMがインストールされると、攻撃者は対象のデバイスにアクセスできるようになる。

影響と対策

CERT-UAによると、このキャンペーンは少なくとも2024年2月から3月にかけて実施されたという。悪意のあるファイルには欧米の金融機関や保険関連企業の名前を悪用しているものがあり、影響は広範囲におよぶ可能性があると指摘している。

CERT-UAはこの攻撃を回避するため、SuperOps RMMを使用していない組織に対してドメイン「*.superops.com」および「*.superops.ai」へのトラフィックがないかどうかを確認することを推奨している。これらドメインへの通信がある場合は侵害されている可能性がある。

CERT-UAは本件調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。