SentinelLabsは2月25日(米国時間)、「Ghostwriter|New Campaign Targets Ukrainian Government and Belarusian Opposition|SentinelOne」において、ウクライナ政府、ウクライナ軍およびベラルーシの反政府組織を標的とした新しいサイバー攻撃を発見したと伝えた。

  • Ghostwriter|New Campaign Targets Ukrainian Government and Belarusian Opposition|SentinelOne

    Ghostwriter|New Campaign Targets Ukrainian Government and Belarusian Opposition|SentinelOne

サイバー攻撃キャンペーンの概要

SentinelLabsによると、このキャンペーンは2024年7月から8月にかけて準備され、同年11月から12月にかけて実行されたという。攻撃を実施した脅威アクターは2016年から活動が観察されている「Ghostwriter(別名: UNC1151、UAC-0057)」とされ、ベラルーシ政府のスパイ活動との関連が指摘されている。

初期の侵害経路はフィッシングメールとみられる。メールにはGoogle Driveの共有ドキュメントへのリンクがあり、アクセスするとRARアーカイブファイルをダウンロードする。

アーカイブファイルにはExeclファイルが含まれ、Excelファイルには難読化されたVBAマクロが含まれている。被害者がファイルを開き、マクロの実行を許可すると最終的にマルウェアに感染する。

このキャンペーンで配布されたマルウェアは取得に失敗しており特定できていない。しかしながら、過去の事例から「Cobalt Strike」の可能性があるとしている。

  • 侵害経路 - 引用:SentinelOne

    侵害経路 引用:SentinelOne

なお、SentinelLabsはマルウェアローダーがマルウェアをダウンロードする所までは観察している。しかしながら、正常な画像ファイルがダウンロードされ、マルウェアの特定に失敗している。これは、攻撃者が標的の情報(WebブラウザやIPアドレス)を把握しており、アクセス元の情報が一致した場合にのみ最終ペイロードを配布したものと推測されている。

対策

SentinelLabsは同様の手法を使用する複数の攻撃を特定し、それぞれの手法について分析結果を公開している。基本的な攻撃手順が同じことから、いずれもGhostwriterによる攻撃と特定されている。

Ghostwriterの今回の行動はロシア政府の利益と密接に結びついている。これはロシアのためにベラルーシ政府が行動していることを表しており、これら国家と敵対的な関係にある組織は同様の攻撃に注意する必要がある。

初期の攻撃にフィッシングメールが使用されたことから、フィッシング対策を徹底することが推奨される。また、SentinelLabsは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。