Check Point Software Technologiesはこのほど、「Operation Silent Watch: Desktop Surveillance in Azerbaijan and Armenia」において、アルメニアの組織に対するサイバー攻撃キャンペーンを特定したと伝えた。2022年後半から観測されているこのキャンペーンでは、「OxtaRAT」と呼ばれるマルウェアが用いられており、アルメニアとの関係が悪化しているアゼルバイジャンの組織が関わっていると考えられている。

OxtaRATは、Windows用のスクリプト言語であるAutoITで開発されたマルウェア。最新バージョンでは、標的のPCにおいて、ファイルの検索や取得、Webカメラとデスクトップからのビデオ録画、TightVNCを使ったリモート制御、Webシェルのインストール、ポートスキャンといった操作が可能。コンパイルされたAutoITスクリプトを画像に埋め込んだポリグロットファイルとして配布されることも確認されているという。

マルウェアの感染は、PDFファイルに偽装した自己解凍型アーカイブの配布から始まる。このアーカイブを解凍するとTempフォルダに別の自己解凍型アーカイブがドロップ実行され、続けて追加の複数のファイルがドロップされる。それらに含まれるスクリプトが実行されると、表向きはPDFファイルを開く一方で、バックグラウンドで複数の補助ファイルとAutoItインタープリタを展開し、それを使用して画像ファイル内に隠されたOxtaRATを実行するという。

OxtaRATの感染チェーン 引用:Check Point Research

OxtaRATは感染したPCでバックドアとして働き、リモートのコマンド&コントロールサーバと通信して前述のように複数の命令を実行することができる。同じ攻撃者が以前に実施したキャンペーンと比較すると、最新バージョンのOxtaRATはセキュリティやデータを盗む方法など、さまざまな機能改善が行われているという。

Check Pointは、この攻撃キャンペーンの背後にいる攻撃者は、数年前からアゼルバイジャンの人権団体や反体制組織、独立系メディアを標的として活動している攻撃者と同一と分析している。アゼルバイジャンとアルメニアは長年にわたって武力衝突を繰り返してきたが、2022年になって両国の調停役であったロシアの影響力が低下したことから、2022年後半に衝突が再発する結果となった。ア

ルメニアへのサイバー攻撃はアゼルバイジャンの利益と一致していることから、OxtaRATのキャンペーンは両国の紛争に関連するものだと考えるのは合理的だ。Check Pointによれば、OxtaRATがアルメニアの組織を標的として攻撃に用いられたのは初めてのことだという。