Cisco Talos Intelligence Groupはこのほど、「Talos uncovers espionage campaigns targeting CIS countries, embassies and EU health care agency」において、独立国家共同体(CIS: Commonwealth of Independent States)の政府機関を標的としたサイバー攻撃のキャンペーンが展開されているとして、注意を呼びかけた。「YoroTrooper」と呼ばれるサイバー攻撃者が2022年6月頃より、政府機関や国際機関、エネルギー機関などをターゲットにサイバースパイ活動を展開していることが明らかとなった。

Talos uncovers espionage campaigns targeting CIS countries, embassies and EU health care agency

YoroTrooperと名付けられた新たなサイバー攻撃者によるキャンペーンが特定されている。複数のサイバースパイキャンペーンを展開し、アゼルバイジャン、タジキスタン、キルギスタン、その他の独立国家共同体の政府機関やエネルギー機関などをターゲットにしていることが確認されている。

欧州連合(EU: European Union)の重要な医療機関および世界知的所有権機関(WIPO: World Intellectual Property Organization)もこのキャンペーンの被害を受け、複数のアプリケーションの認証情報、ブラウザの履歴およびCookie、システム情報、スクリーンショットなどが窃取されたと報告している。

キャンペーンではAveMaria/Warzone RAT、LodaRAT、MeterpreterなどのコモディティマルウェアやオープンソースのインフォスティーラであるStinkなどが主なツールとして使われ、悪意のあるLNKファイルおよびアーカイブに包まれた文書ファイルによるスピアフィッシングメールが感染経路として使われたことが確認されている。

YoroTrooper Profile

Campaignes Infection Chain

キャンペーンの一部にキリル文字が使われていることから、YoroTrooperはロシア語を話すことができる攻撃者と考えられている。分析した戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)からスパイ活動が主な動機になっているとみられているが、標的のほとんどが独立国家共同体の国々であるため、ロシアに関連した人物かはどうかは断定されていない。