フィッシングキャンペーンは、ウクライナ難民と協力しているEU当局者を対象としています

ウクライナでの戦争が続く中、セキュリティ研究者は秘密のサイバー戦争の新たな試みのように見えるものを発見しました。今回、攻撃者は、戦争で荒廃した国から逃げるウクライナ難民と協力している欧州連合のスタッフと当局者を標的にしました。

フィッシング攻撃は侵害された電子メールを使用します

セキュリティ会社Proofpointの研究者は、攻撃に関するレポートを公開しました。 Proofpointによると、「ありそうな」国家支援の俳優は、ウクライナから来る難民の波の処理に取り組んでいるヨーロッパの政府高官を標的にしています。フィッシング攻撃は、以前に脅威の攻撃者によって侵害されたウクライナ軍の電子メールアドレスを使用して実行されました。

フィッシングメールに含まれるペイロードは、悪意のあるマクロが埋め込まれた「listofpersons.xlsx」という名前の添付Excelファイルで構成されています。実行されると、マクロはLuaで記述され、「SunSeed」と呼ばれる悪意のあるセカンダリペイロードを取得しようとします。フィッシングメッセージの発信元の電子メールは、ウクライナ軍のメンバーとukr.netメールドメインに属しています。

フィッシングメールのソーシャルエンジニアリングの側面に関しては、メッセージには「2022年2月24日付けのウクライナ安全保障理事会の緊急会議の決定に従って」という件名が付いていました。これは、電子メールのタイトルの前日にNATO安全保障理事会が開催した緊急会議と結びついていました。一方、添付ファイルのファイル名は、2月下旬にニュースとなったウクライナのターゲットの「キルリスト」を呼び出すことを目的としていました。

SunSeedマルウェアのしくみ

ペイロードは、いくつかのLua依存関係をインストールし、悪意のあるSunSeed Luaスクリプトを実行し、最後にショートカット.lnkファイルを使用して永続性を設定します。正規のLuaコードインタープリターの修正バージョンもインストールされています。問題のインタプリタはsppsvc.exeと呼ばれ、この特定のバージョンは、マルウェアのアクティビティを隠すために、Windowsコンソールに何も出力しないように変更されています。

永続化に使用されるショートカットファイルはSoftwareProtection Service.lnkと呼ばれ、〜\ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup \の下に作成されます。

これは国の支援を受けた事業体であるというProofpointの信念にもかかわらず、特定の国の特定のグループを指し示す確固たる証拠はありません。この報告は、100万人以上のウクライナ人が国を逃れ、ウクライナの国境を越えて避難を求めているときに出されます。ウクライナの難民の流入は、伝統的に年間の難民割当が非常に少なかった日本に、戦争から逃れる人々のために国境を開くことさえ促しました。