PicassoLoader、ウクライナ、ポーランドで標的型攻撃に使用

ウクライナとポーランドでは、機密情報を取得し、侵害されたシステムへの永続的なリモート アクセスを確立するために、一連の標的を絞ったキャンペーンが開始されました。政府機関、軍事組織、民間人がこれらの攻撃の犠牲になっています。

2022 年 4 月から 2023 年 7 月にかけて行われたこれらの侵入では、フィッシングルアーやおとり文書などのさまざまな戦術が使用されました。このスキームで使用される著名なマルウェアの 1 つは、ダウンローダー マルウェアを通じて展開される PicassoLoader です。感染すると、Cobalt Strike Beacon と njRAT を使用してシステムが侵害されます。

Cisco Talos の研究者 Vanja Svajcer 氏は、攻撃には複数の段階があり、通常は Excel または PowerPoint 形式の悪意のある Microsoft Office ドキュメントから始まると説明しました。その後、実行可能なダウンローダーと画像ファイル内に隠蔽されたペイロードを利用して検出を回避します。

UAC-0057 または UNC1151 としても知られる GhostWriter 脅威アクターが、これらの活動の一部に関与していると考えられています。彼らの動機はベラルーシ政府の動機と一致している。

これらの攻撃の一部は、ウクライナの CERT-UA とフォーティネット FortiGuard Labs によって過去 1 年間にすでに報告されていることは注目に値します。 1 つの例では、2022 年 7 月にエージェント テスラ マルウェアを配布するためにマクロを含む PowerPoint ドキュメントが使用されました。

感染チェーンは、被害者にマクロを有効にするように設計されており、PicassoLoader と呼ばれる DLL ダウンローダーの展開につながります。次に、このダウンローダーは、攻撃者が制御する Web サイトと通信して、正規のイメージ ファイル内に埋め込まれた最終的なマルウェアを取得します。

CERT-UA は最近、SmokeLoader マルウェアを配布する一連のフィッシング活動と、Telegram アカウントの不正な制御を狙ったスミッシング攻撃を明らかにしました。

ウクライナを狙うさらなる攻撃者

別の事件では、CERT-UA がウクライナの国家機関とメディア代表者を標的としたサイバースパイ活動を暴露した。このキャンペーンでは、電子メールとインスタント メッセンジャーを利用して、起動時に LONEPAGE と呼ばれる PowerShell スクリプトを実行するファイルを配布しました。このスクリプトは、ブラウザ スティーラー (THUMBCHOP) やキーロガー (CLOGFLAG) などの次の段階のペイロードをフェッチしました。

GhostWriter は、ウクライナを標的にした複数の攻撃者の 1 つにすぎません。ロシアの国民国家グループである APT28 も、フィッシングメールに HTML 添付ファイルを使用していたことで知られています。これらの電子メールは、受信者に UKR.NET と Yahoo! のパスワードを変更するよう促します。不審な活動の疑いによるアカウントの削除。ただし、リンクは被害者を認証情報を盗むことを目的とした偽のランディング ページにリダイレクトします。

これらの展開は、ロシア軍事情報局（GRU）のハッカーたちが、ウクライナに対する破壊的作戦に「標準的な5段階戦略」を採用したのと一致する。この戦略は、攻撃の速度、規模、影響を強化することを目的としています。