Deep Instinctはこのほど、「Threat Actor 'UAC-0099' Continues to Target Ukraine」において、ウクライナを継続的に狙う脅威アクター「UAC-0099」に関する分析結果を公開した。ウクライナコンピュータ緊急対応チーム (CERT-UA: Computer Emergency Response Team of Ukraine)は2023年5月に「CERT-UA#6710」としてUAC-0099の活動を公表している。Deep Instinctは同文書が公表された後に新たなUAC-0099の攻撃を特定したとして、その内容を伝えている。
Threat Actor 'UAC-0099' Continues to Target Ukraine
○WinRARが悪用したUAC-0099のサイバー攻撃の概要
Deep InstinctによるとUAC-0099は2023年8月初旬、ウクライナ国外からリモート勤務する会社員に対し、裁判所になりすまして悪意のあるメールを送信した。このメールにはWinRARで作成された自己展開方式の圧縮ファイルが添付されており、展開するとドキュメントに偽装したLNKファイルが解凍される。このLNKファイルは特別な細工が施されており、実行すると悪意のあるPowerShellが実行される。PowerShellはおとりの文章を作成、表示してバックグラウンドで実行される悪意のある処理を隠蔽する。バックグラウンドでは悪意のあるVBSファイルを作成し、3分ごとに実行されるようにタスクスケジュールを作成する。
UAC-0099による主な攻撃手順 引用:Deep Instinct
このVBSファイルは「LonePage」と名付けられたマルウェアで、UAC-0099のコマンド&コントロール(C2: Command and Control)サーバから追加のスクリプトを取得、実行して結果を返送する機能を持つ。Deep Instinctは2023年11月にも別のコマンド&コントロールサーバを使用した同様の攻撃を複数確認したとしている。
Deep InstinctはUAC-0099が使用する戦術について、「戦術はシンプルでPowerShellやVBSを実行するタスクスケジュールに依存している」と指摘。これらファイルやタスクスケジュールを監視、制限することで同様の攻撃を回避、または検出できるとしている。また、WinRARの脆弱性は今後も継続して狙われる可能性があるため、WinRARの利用者に最新バージョンへの速やかなアップデートを推奨している。
