ウクライナのコンピュータ緊急対応チーム(CERT-UA)が追跡する脅威アクターUAC-0184による、フィンランドに拠点を置くウクライナの組織を対象とした悪意のあるキャンペーンが発覚した。このキャンペーンでは、IDAT Loaderと呼ばれるマルウェアローダーを使用して、商用のリモートアクセストロイの木馬(RAT)であるRemcos RATを配布している。攻撃にはステガノグラフィーという技術が用いられており、IDAT LoaderはHijack Loaderという別のローダーファミリーと重複している。近月には、DanaBot、SystemBC、RedLine Stealerなどの追加ペイロードを提供するために使用されてきた。また、TA544と追跡される脅威アクターによって、フィッシング攻撃を通じてRemcos RATとSystemBCを配布するために使用されている。
フィッシングキャンペーンは、2024年1月初旬にCERT-UAによって初めて公表され、戦争をテーマにした誘引を使用して感染チェーンを開始し、IDAT Loaderの展開につながり、組み込まれたステガノグラフィーPNGを使用してRemcos RATを特定し抽出する。CERT-UAは、国の防衛部隊がSignalインスタントメッセージングアプリを通じて、COOKBOXというPowerShellベースのマルウェアを実行する罠にかけられたMicrosoft Excelドキュメントを配布するために標的にされていることも明らかにした。この活動は、UAC-0149というクラスターに帰属されている。また、2024年2月8日以降、現在アクティブな開発中であると見られる更新されたバリアントを使用してPikaBotマルウェアのキャンペーンが再燃している。このバージョンのPIKABOTローダーは、新しいアンパッキング方法と強力な難読化を使用しており、コアモジュールには新しい文字列復号化実装、難読化機能の変更、およびその他の修正が加えられている。
【ニュース解説】
フィンランドに拠点を置くウクライナの組織が、IDAT Loaderというマルウェアローダーを介して、Remcos RATという商用のリモートアクセストロイの木馬を配布する悪意あるキャンペーンの標的になっています。この攻撃は、ウクライナのコンピュータ緊急対応チーム(CERT-UA)が追跡する脅威アクターUAC-0184によって行われており、ステガノグラフィーという技術を使用しています。ステガノグラフィーは、画像や音声ファイルなどのメディアファイル内に隠しデータを埋め込む技術で、この場合はPNG画像にRemcos RATを隠しています。
この攻撃キャンペーンは、戦争をテーマにした誘引を使って始まり、感染チェーンを通じてIDAT Loaderが展開され、最終的にRemcos RATが抽出されます。IDAT Loaderは、Hijack Loaderという別のローダーファミリーと重複しており、DanaBot、SystemBC、RedLine Stealerなどの追加ペイロードを提供するためにも使用されています。
このような攻撃は、防衛部隊やその他の組織にとって深刻なセキュリティリスクをもたらします。ステガノグラフィーを使用することで、マルウェアは検出を回避しやすくなり、組織の防御システムを突破する可能性が高まります。この技術により、攻撃者は標的のシステムにアクセスし、機密情報を盗み出したり、システムを制御したりすることが可能になります。
この攻撃の発覚は、組織がセキュリティ対策を強化し、特にステガノグラフィーを利用した攻撃に対する防御策を見直すきっかけとなるべきです。また、フィッシング攻撃に対する警戒も重要であり、従業員へのセキュリティ教育を強化し、不審なメールやリンクに対する認識を高めることが求められます。
長期的には、このような攻撃の増加は、サイバーセキュリティの規制や基準の強化を促す可能性があります。また、ステガノグラフィー検出技術の開発や、AIを活用したセキュリティシステムの進化にもつながるかもしれません。サイバーセキュリティは常に進化する脅威に対応する必要があり、この攻撃はその重要性を改めて示しています。
from New IDAT Loader Attacks Using Steganography to Deploy Remcos RAT.
