Kaspersky Labは9月2日(現地時間)、「Head Mare hacktivists: attacks on companies in Russia and Belarus|Securelist」において、ハクティビストグループの「Head Mare」がロシアとベラルーシの企業を標的にサイバー攻撃を実施していると伝えた。Head Mareは昨年に発見されたWinRARの脆弱性「CVE-2023-38831」を悪用する特徴があるとされる(参考:「WinRARに悪意のあるコード実行の脆弱性、ただちにアップデートを | TECH+(テックプラス)」)。

Head Mare hacktivists: attacks on companies in Russia and Belarus|Securelist

○ハクティビストグループ「Head Mare」とは

ウクライナとロシアの紛争開始以来、インターネット上には政治的主張を目的にサイバー攻撃を実施する新しいハクティビストグループが複数現れた。Head Mareもその一つで、ロシアとベラルーシの企業に限定して経済的損失を与える活動を行うとされる。

Kaspersky Labは、新しく出現したこれらハクティビストグループは同様の手法とツールを使用する傾向にあると分析している。しかしながら、Head Mareは他と異なりWinRARの脆弱性「CVE-2023-38831」を悪用し、標的にマルウェアを配布するとされる。

また、Head MareはX(旧Twitter)に情報公開アカウントを所有しており、被害者情報を公開するという。Kaspersky Labは、これまでに9件の攻撃について情報を公開した。

Head MareによるX(旧Twitter)への投稿例

○攻撃の概要

Head MareはWinRARの脆弱性を悪用し、マルウェア「PhantomDL」または「PhantomCore」を配布する。これらマルウェアは攻撃者のコマンド&コントロール(C2: Command and Control)サーバとの接続を確立すると、標的のドメイン情報の収集、永続性の確保、ネットワークおよび認証情報の窃取に続けてランサムウェアを展開する。

ランサムウェアは「LockBit」および「Babuk」の使用が確認されている。Head Mareは標的に経済的損失を与えるため、これらランサムウェアを使用してファイルを暗号化し、身代金を要求する。

○対策

現在のところ、Head MareはWinRARの脆弱性を悪用しているが、戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)を改善しているとされ、今後別の手法に切り替える可能性があると指摘されている。Kasperskyは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、標的地域の企業に対して有効に活用することを推奨している。