SPICAのおとりPDF作戦

ほぼこもセキュリティニュース By Terilogy Worx

SPICAは、バックドア型マルウェアです。
これは以前からCOLDRIVERが展開しているマルウェアです。
次のような流れでSPICAはやってきます。

  • メールが来る
    被害者候補となっている人に、メールが送られてきます。

     

  • メールに添付ファイル
    送られてきたメールには、ファイルが添付されています。
    ファイル種別はPDFです。

     

  • PDFを開く
    被害者候補の人は、そのPDFを開いて内容を確認しようとします。
    しかし、内容を読むことはできません。
    このPDFには、なんら悪意ある内容は含まれていないのですが、内容が暗号化されたような状態になっており、PDFとして閲覧することはできるのですが、内容の文字は読むことができません。
    このPDFはメール送信者である偽装アカウントが公開しようとしている新しい論説または他の種類の記事として、これらの文書を提示したものですので、受信者はこの内容を確認したいと感じています。

     

  • 見ることができないと返信
    被害者候補の人は、メール送信者に、添付してもらったPDFは読むことができなかったと返信します。
    攻撃者は、これを待っていました。

     

  • 復号化ツールのリンクが来る
    PDFを読むのには、この復号化ツールを使ってください、ということで、攻撃者は被害者候補の人にリンクを送ります。
    リンクはクラウドストレージにあるファイルのURLです。
    このリンク先のファイル名は「Proton-decrypter.exe」です。
    これを入手し実行したとき、被害者候補の人は被害者となります。

その復号化ソフトと思ったものは復号化ソフトではありませんでした。
読むことのできる文字の含まれるPDFを開く機能も持っていますので、表の動きとしては、復号化ソフトとして機能しています。
しかし、裏では、マルウェアとしての活動を展開しています。
ここで設置されるマルウェアがSPICAです。

任意のコマンド実行、ChromeなどのブラウザからのCookieの取得、ファイルのアップロードとダウンロード、ファイルシステム情報の収集などの機能が実装されています。
スケジュールタスクを設置し、これによる永続化も設定されます。
読める方のPDFを被害者が閉じた後も、マルウェアの活動は継続されます。

攻撃者の作戦は、さまざまな新しい取り組みでやってきます。
厳しいですが、慎重に行動し、ひっかからないようにしていくしかなさそうです。

参考記事(外部リンク):Russian threat group COLDRIVER expands its targeting of
Western officials to include the use of malware

blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/