Unit 42 がウクライナのサイバー機関 SCPC SSSCIP と共同研究で Smoke Loader バックドアを暴く

  • 97
    people reacted
  • 0
  • 2 min. read

By

Category: Malware

Tags: , , , , , , , , , , ,

A pictorial representation of Smoke Loader. A world map with location markers. Around it are icon of types of attacks: bugs, hacking, and other indicators of tools such as graphs.

This post is also available in: English (英語)

概要

本稿は、SCPC SSSCIP (the State Cyber Protection Centre of the State Service of Special Communications and Information Protection of Ukraine: ウクライナ国家特殊通信・情報保護局の国家サイバー保護センター) と私たちとの初めての共同取り組みについて発表するものです。この共同研究は、ウクライナ全土で 2023 年 5 月から 11 月にかけて観測された、CERT-UA によって UAC-0006 と命名されているグループによる、最近の Smoke Loader マルウェア アクティビティに焦点を当てるものです。

Unit 42 は長年、ウクライナと協力して、実用的なインテリジェンスと専門知識を共有してきました。ウクライナ戦争は 3 年目に突入し、同国は物量ともに過去最大のサイバー攻撃に直面しています。国家支援型脅威グループ、サイバー犯罪者、ハクティビスト グループなどを含む、グローバルな脅威アクターが、ウクライナ紛争がもたらす機会を捉え、悪意のある目的に利用しています。SCPC SSSCIP は、Smoke Loader を「最近の攻撃でとくに目立って使われているタイプのマルウェア」と特定しています。

Dofoil または Sharik としても知られる Smoke Loader は、Microsoft Windows を実行するシステムを標的としたバックドアです。脅威アクターらはこの脅威を 2011 年以来アンダーグラウンド フォーラムで宣伝しています。Smoke Loader は、主に情報窃取機能を追加したローダーで、ロシアのサイバー犯罪活動に関連しており、ロシアのサイバー犯罪フォーラムで容易に入手できます。

ウクライナ当局は、同国の金融機関や政府組織を標的とした Smoke Loader 攻撃の急増を強調しています。Smoke Loader によるウクライナでの攻撃増加が観測されていますが、このマルウェアは世界的に見ても依然として脅威となっており、他国を標的とするキャンペーンも複数確認されています。ただし、こうした攻撃の急増は、ウクライナのシステムを混乱させ、貴重なデータを引き出そうという組織的努力を示唆するものです。

Smoke Loader は Web ベースのベクトルを通じて配布されることがありますが、対ウクライナについていえば、同マルウェアによる攻撃はフィッシング キャンペーンからの悪意のある電子メールの形で検出されています。SCPC SSSCIP レポートは、2023 年 5月 10 日から 11 月 23 日までの 23 回にわたる電子メールベースの攻撃波について詳細な分析を提供しています。本レポートは、攻撃チェーンのトレンド研究やマルウェアの分析、詳細な技術分析、侵害の詳しい指標などに関心のあるセキュリティ専門家にとって非常に有益なものとなっています。

ウクライナにおける Smoke Loader キャンペーンの技術的側面については SCPC SSSCIP によるレポートを参照してください。

読者の皆さんは、セキュリティ対策の優先付けやオンラインでの賢い立ちふるまいにより、Smoke Loader やこれと同様のマルウェア攻撃を防ぐことができます。メールの添付ファイルを開いたり、リンクをクリックしたりするさいは十分に注意してください。とくに知らない送信者からのものには注意が必要です。ダウンロードは、信頼できるWeb サイトに限って行ってください。各オンライン アカウントには、それぞれに異なる強力なパスワードを作成し、最新のサイバーセキュリティ脅威について常にキャッチアップするようにしてください。これらの対策により、Smoke Loaderのようなマルウェアの被害に遭うリスクを大幅に減らすことができます。

パロアルトネットワークスのお客様は、Advanced WildFireDNS SecurityAdvanced Threat PreventionAdvanced URL Filtering などのクラウド提供型セキュリティ サービスを備えた次世代ファイアウォールと、Cortex XDRCortex XSIAM を通じ、SCPC SSSCIP のレポート内で述べられている Smoke Loader サンプルからより適切に保護されています。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、こちらの問い合わせフォームからご連絡いただくか、infojapan@paloaltonetworks.com まで電子メールにてお問い合わせください (ご相談は弊社製品のお客様には限定されません)。

関連する Unit 42 のトピック Smoke Loader, Spear Phishing, UAC-0006, Ukraine

目次

Smoke Loader の背景
UAC-0006 グループ
攻撃の規模
結論

Smoke Loader の背景

DofoilSharik の別名でも知られる Smoke Loader は、ほかのマルウェアをロードする悪質なプログラムですが、ほかにもさまざまな機能を持っています。Smoke Loader に関する 2016 年の記事によれば、初期バージョンは、早くも 2011 年の時点で、犯罪のアンダーグラウンドで初めて宣伝されていたといわれています。以来、さまざまな情報源が Smoke Loader のアクティビティを記録しており、2018 年に私たちが発表した Smoke Loader 関連の分析も含め、数多くのレポートが発表されています。

Smoke Loader は電子メールを通じて配布されており、Rig Exploit Kit のような Web ベースのベクトルからのペイロードとして出現してきました。私たちは、Smoke Loader が Grupteba のようなほかのマルウェアのペイロードとして配布されているのを見たこともあります。

登場以来、Smoke Loader に関する報告からは、さまざまなグループが世界中の異なる業界・組織に対して Smoke Loader を使っていることが示されています。これらのアクティビティは、ウクライナにおける最近の標的型サイバー攻撃から Phobos ランサムウェア感染での犯罪活動まで多岐にわたります。

「サービスとしてのマルウェア」としてよく知られ、現在も活発である Smoke Loader は、ウクライナ SCPC SSSCIP によって報告されたものを含め、(脅威アクターの観点から見て) あらゆる攻撃に使える理想的な手段のひとつです。

UAC-0006 グループ

2023 年 5 月 5 日、CERT-UA は、UAC-0006 という識別子の下での Smoke Loader のアクティビティに関する最初の通知であるアラート CERT-UA#6613 を発行しました。2023 年の残りの期間を通じて、CERT-UA は、UAC-0006 グループに関する5 つの追加の通知を発表しました。

CERT-UA によると、UAC-0006 グループは 2023 年 12 月現在、金融犯罪のカテゴリーでのトップとなっています。UAC-0006 は Smoke Loader を使ってほかのマルウェアをダウンロードし、この追加マルウェアを使ってウクライナの企業から資金を盗み出そうとしています。これらの試みは経済的損失の可能性の高さを示すものとなっています。

CERT-UA は、これらの Smoke Loader 攻撃の背後にいる特定の脅威アクターを確認していませんが、さまざまな情報源は UAC-0006 がロシアのサイバー犯罪に関連しているのではないかと疑っています。

攻撃の規模

前述のように、UAC-0006 は 2023 年 12 月現在、ウクライナにおける金融犯罪のカテゴリーでのトップとなっています。すでに 2023 年 10 月の時点で CERT-UA がUAC-006 のアクティビティ急増を報告しており、このグループが 2023 年 8 月から 9 月にかけて数千万フリヴニャ (ウクライナの通貨単位。UAH。1 UAH は 3 月 18 日 JST 現在およそ 3.85円) を盗もうとしたと指摘しました。

私たちの共同調査に基づいて SCPC SSSCIP の報告は、2023 年 5 月から 12 月にかけて、23 回にわたる Smoke Loader の攻撃波を記録しています。これらのキャンペーンは、ウクライナの会計士にとって脅威のレベルを著しく高めており、週次平均で 100 万フリヴニャ (およそ 385 万円) の潜在的損失をもたらしています。

結論

パロアルトネットワークスは SCPC SSSCIP と協力し、ウクライナの組織を標的とする Smoke Loader 攻撃を緩和するための実用的脅威インテリジェンスを提供しました。私たちの共同研究は、攻撃者が実世界のキャンペーンで Smoke Loader をどのように活用しているかについての貴重な洞察を提供するものです。これには、初期攻撃ベクトル、二次ペイロードの種類、攻撃者の全般的目標への理解が含まれます。私たちの研究は、互いの防御の発展と、攻撃チェーン全体の妨害に役立てられました。

ウクライナにおける Smoke Loader キャンペーンの技術的側面をより深く理解するには SCPC SSSCIP によるレポートをお読みください。

対 Smoke Loader 防御における最重要要素は、セキュリティ対策の優先付けと賢いオンラインでの立ちふるまいです。メールの添付ファイルを開いたり、リンクをクリックしたりするさいは十分に注意してください。とくに知らない送信者からのものには注意が必要です。ダウンロードは信頼できる Web サイトに限って行い、オンライン アカウントごとに異なる強力なパスワードを作成してください。最新のサイバーセキュリティ脅威について、常にキャッチアップするようにしてください。こうした心がけにより、Smoke Loader のようなマルウェアの被害に遭うリスクを大幅に減らすことができます。

パロアルトネットワークスのお客様は、Advanced WildFireDNS SecurityAdvanced Threat PreventionAdvanced URL Filtering などのクラウド提供型セキュリティ サービスを備えた次世代ファイアウォールと、Cortex XDRCortex XSIAM を通じ、Smoke Loader からより適切に保護されています。

侵害の懸念があり弊社にインシデントレスポンスに関するご相談をなさりたい場合は、こちらの問い合わせフォームからご連絡いただくか、infojapan@paloaltonetworks.com まで電子メールにてご連絡いただくか、下記の電話番号までお問い合わせください(ご相談は弊社製品のお客様には限定されません)。

  • 北米フリーダイヤル: 866.486.4842 (866.4.UNIT42)
  • EMEA: +31.20.299.3130
  • APAC: +65.6983.8730
  • 日本: (+81) 50-1790-0200

パロアルトネットワークスは、これらの調査結果を Cyber Threat Alliance (CTA: サイバー脅威アライアンス) のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使って、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害できます。詳細は Cyber Threat Alliance にてご確認ください。