ロシアの脅威グループ「COLDRIVER」、PDF悪用のマルウェア攻撃--グーグルが警告

ZDNET Japan Staff

2024-01-19 12:28

 Googleの脅威分析グループ(Threat Analysis Group:TAG)は米国時間1月18日、ロシアの脅威グループ「COLDRIVER」が、認証情報を狙ったフィッシングという従来の活動以外に、PDF文書をおとりにマルウェアを配信していることを確認したと発表した。

Googleの社屋
提供:Stephen Shankland/CNET

 COLDRIVERは「UNC4057」「Star Blizzard」「Callisto」としても知られる。このグループは、非政府組織(NGO)の要人、情報機関および軍の元幹部、北大西洋条約機構(NATO)の政府高官などを標的としたフィッシング攻撃を行ってきたという。

 TAGによると、特定分野の専門家をよそおった偽アカウントを利用してユーザーと信頼関係を築き、フィッシング向けのリンクや、不正なリンクを含んだ文書を送信するというのがCOLDRIVERの常套手段だ。

 新たな手口では、まず偽アカウントから無害のPDF文書を送信する。ユーザーが文書を開くと、暗号化されているように表示される。そのため、ユーザーが閲覧できないと返信すると、攻撃者はクラウド上にホストされている復号ユーティリティーへのリンクを送信する。

 この復号ユーティリティーは実際にはバックドアであり、おとりの文書を表示する一方、攻撃者がユーザーのマシンにアクセスできるようにする。このカスタムマルウェアは「SPICA」という名称で追跡されており、COLDRIVERはこれを遅くとも2022年11月には使用していたとみられる。

 SPICAはRustで記述されており、任意のシェルコマンドの実行、ウェブブラウザーのクッキーの窃取、ファイルのアップロードとダウンロード、ファイルシステムの内容の取得、ドキュメントの流出といったコマンドを実行できるという 。

 おとりのPDFには4つの亜種があり、それに合わせてSPICAには複数のバージョンが存在するとTAGはみている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

マイナンバーカードの利用状況を教えてください

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]