ロシア軍のサイバースパイグループ「Sandworm」は、トロイの木馬化したMicrosoft Key Management Service (KMS)アクティベータと偽のWindowsアップデートで、ウクライナのWindowsユーザーを標的にしています。
これらの攻撃は2023年後半に始まった可能性が高く、現在、EclecticIQの脅威アナリストは、重複するインフラ、一貫した戦術、技術、手順(TTPs)、および攻撃に使用されるドメインを登録するために頻繁に使用されるProtonMailアカウントに基づいて、Sandwormのハッカーとリンクしています。
攻撃者はまた、DarkCrystal RAT(DcRAT)マルウェア(以前のSandworm攻撃で使用)を展開するためにBACKORDERローダーを使用し、ロシア語のビルド環境を参照するデバッグシンボルを使用していました。
EclecticIQは、同じ悪意ある活動クラスターに関連する7つのマルウェア配布キャンペーンを特定し、それぞれが類似したルアーとTTPを使用していました。直近では、2025年1月12日、アナリストは、タイポスクワットドメインを使用したデータ流出攻撃において、被害者をDcRATリモートアクセストロイジャンに感染させる攻撃を観測しました。
被害者のデバイス上に展開されると、偽のKMSアクティベーションツールは偽のWindowsアクティベーションインターフェースを表示し、マルウェアローダーをインストールし、最終的なRATペイロードを配信する前にバックグラウンドでWindows Defenderを無効にします。
この攻撃の最終目標は、感染したコンピュータから機密情報を収集し、攻撃者が管理するサーバに送信することです。このマルウェアは、キーストローク、ブラウザのクッキー、ブラウザの履歴、保存された認証情報、FTP認証情報、システム情報、スクリーンショットなどを盗み出します。
Sandwormが悪意のあるWindowsアクティベータを使用したのは、ウクライナで海賊版ソフトウェアが多用され、同国の政府部門も悩まされていることから、攻撃対象が広がっていることが背景にあるようだ。
「EclecticIQは、「企業や重要な団体を含む多くのユーザーは、信頼できないソースからの海賊版ソフトウェアに目を向けており、Sandworm(APT44)のような敵対勢力に、広く使用されているプログラムにマルウェアを埋め込む絶好の機会を与えている。
「この手口は、大規模なスパイ活動、データ窃盗、ネットワーク侵害を可能にし、ウクライナの国家安全保障、重要インフラ、民間部門の回復力を直接脅かしている。
Sandworm(UAC-0113、APT44、Seashell Blizzardとしても追跡されている)は、少なくとも2009年から活動しているハッキンググループで、ロシアの軍事情報機関である主情報総局(GRU)の軍事ユニット74455の一部であり、主にウクライナを標的とした 破壊的・破壊的な攻撃の実行に注力している。
Comments