未知の脅威アクター「SPIKEDWINE」と名付けられたグループが、新たなバックドア「WINELOADER」を使用して、インドの外交ミッションを持つヨーロッパ諸国の官僚を標的にしていることが観察された。この攻撃は、インドの大使から来たとされるPDFファイルを電子メールで送信し、2024年2月2日にワインテイスティングイベントへの招待を装っていた。このPDF文書は、2024年1月30日にラトビアからVirusTotalにアップロードされた。さらに、このキャンペーンは少なくとも2023年7月6日から活動していた可能性があるという証拠がある。攻撃はその低いボリュームと、マルウェアおよびコマンドアンドコントロール(C2)インフラストラクチャで使用される高度な戦術、技術、手順(TTP)によって特徴づけられる。
PDFファイルは、参加を促すためのアンケートとして偽装された悪意のあるリンクを埋め込んでおり、リンクをクリックすると「wine.hta」というHTMLアプリケーションが開かれ、難読化されたJavaScriptコードを使用して同じドメインからエンコードされたZIPアーカイブに含まれるWINELOADERを取得する。このマルウェアには、C2サーバーからモジュールを実行し、別の動的リンクライブラリ(DLL)に自身を注入し、ビーコンリクエスト間のスリープ間隔を更新するコアモジュールが含まれている。サイバー侵入の顕著な側面は、C2および中間ペイロードのホスティングに侵害されたウェブサイトを使用していることであり、C2サーバーは特定のタイプのリクエストにのみ、特定の時間に応答すると疑われている。これにより攻撃をより回避しやすくしている。「脅威アクターは、メモリフォレンジックと自動URLスキャンソリューションを回避するために追加の努力をしている」と研究者は述べている。
【ニュース解説】
インドの外交ミッションを持つヨーロッパ諸国の官僚を標的にした新たなサイバー攻撃が発覚しました。この攻撃は、未知の脅威アクター「SPIKEDWINE」によって実行され、新しいバックドア型マルウェア「WINELOADER」を使用しています。攻撃者は、インドの大使を装った電子メールにPDFファイルを添付し、2024年2月2日にワインテイスティングイベントへの招待として送信しました。このPDFには、悪意のあるリンクが埋め込まれており、リンクをクリックするとマルウェアがダウンロードされる仕組みです。
この攻撃の特徴は、その実行が非常に限定的であること、そして使用されるマルウェアやコマンドアンドコントロール(C2)インフラストラクチャに高度な技術が用いられていることです。WINELOADERマルウェアは、C2サーバーからの命令に従って動作し、自身を他のプログラムに注入する能力を持ち、通信間隔を調整することができます。また、攻撃者はC2サーバーが特定のリクエストにのみ応答するように設定し、侵害されたウェブサイトを利用して中間ペイロードをホスティングすることで、検出を回避しやすくしています。
このような攻撃は、国家レベルのサイバー諜報活動の一環と見られ、政府機関や外交官を標的にすることで、機密情報の窃取や政治的な影響を目的としている可能性があります。攻撃の手法が巧妙であるため、被害に遭うリスクは高く、対象となる組織や個人は高度なセキュリティ対策と警戒が必要です。
この攻撃は、サイバーセキュリティの観点から見ると、メールを通じたフィッシング攻撃の進化を示しています。また、マルウェアがメモリ内での検出を回避する技術や、自動URLスキャンを逃れる工夫が施されている点も注目されます。これらの技術は、今後のサイバー攻撃でより一般的になる可能性があり、セキュリティ対策の強化とともに、最新の脅威に対する継続的な監視と分析が重要になってきます。
長期的な視点では、このような攻撃が国際関係に与える影響も懸念されます。サイバー空間での国家間の緊張が高まることで、対立がエスカレートするリスクがあり、国際社会における信頼関係の構築にも影響を及ぼす可能性があります。そのため、国際的なサイバーセキュリティの枠組みの強化や、国家間での協力が今後さらに重要になってくるでしょう。
from New Backdoor Targeting European Officials Linked to Indian Diplomatic Events.
