ロシアの脅威グループ「COLDRIVER」、PDF悪用のマルウェア攻撃–グーグルが警告

今回は「ロシアの脅威グループ「COLDRIVER」、PDF悪用のマルウェア攻撃–グーグルが警告」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 Googleの脅威分析グループ(Threat Analysis Group:TAG)は米国時間1月18日、ロシアの脅威グループ「COLDRIVER」が、認証情報を狙ったフィッシングという従来の活動以外に、PDF文書をおとりにマルウェアを配信していることを確認したと発表した。

 COLDRIVERは「UNC4057」「Star Blizzard」「Callisto」としても知られる。このグループは、非政府組織(NGO)の要人、情報機関および軍の元幹部、北大西洋条約機構(NATO)の政府高官などを標的としたフィッシング攻撃を行ってきたという。

 TAGによると、特定分野の専門家をよそおった偽アカウントを利用してユーザーと信頼関係を築き、フィッシング向けのリンクや、不正なリンクを含んだ文書を送信するというのがCOLDRIVERの常套手段だ。

 新たな手口では、まず偽アカウントから無害のPDF文書を送信する。ユーザーが文書を開くと、暗号化されているように表示される。そのため、ユーザーが閲覧できないと返信すると、攻撃者はクラウド上にホストされている復号ユーティリティーへのリンクを送信する。

 この復号ユーティリティーは実際にはバックドアであり、おとりの文書を表示する一方、攻撃者がユーザーのマシンにアクセスできるようにする。このカスタムマルウェアは「SPICA」という名称で追跡されており、COLDRIVERはこれを遅くとも2022年11月には使用していたとみられる。

 SPICAはRustで記述されており、任意のシェルコマンドの実行、ウェブブラウザーのクッキーの窃取、ファイルのアップロードとダウンロード、ファイルシステムの内容の取得、ドキュメントの流出といったコマンドを実行できるという 。

 おとりのPDFには4つの亜種があり、それに合わせてSPICAには複数のバージョンが存在するとTAGはみている。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
京大発スタートアップのバイオームがいきものコレクションアプリ「Biome」投稿数100万件突破記念イベント開催
EnviroTech
2021-04-13 05:23
ポストコロナ禍のネットワーク利用に対応する–A10のトリベティCEO
IT関連
2022-05-21 02:22
正念場を迎えるOTセキュリティの現状と今後–TXOneのリュウCEO
IT関連
2023-04-20 20:07
ラック、不正取引をAIで検知する金融機関向けサービスを提供
IT関連
2022-02-23 17:16
リモートワーク社員を「遊び」でつなぐ「バヅクリ」を手がけるプレイライフが1.4億円を調達
ネットサービス
2021-06-16 12:18
「メルカリ」内にネットショップ開設、対象は小規模事業者 ハンドメイド品やご当地グルメの出品を強化
ネットトピック
2021-07-29 21:46
AI問診・病名予測アプリのUbieが新型コロナ第6波を受け全国の病院・クリニックへ「ホームページAI相談窓口」を無償提供
IT関連
2022-01-26 04:49
食べチョクが7月の大雨被害を受けた生産者のサポートを開始、特集コーナーを新規開設し販促を強化
フードテック
2021-07-14 19:04
「どうぶつの森」、米博物館の「ビデオゲームの殿堂」入り
くらテク
2021-05-09 15:18
EU、AIめぐる初の規則案を発表–監視社会を防げないとの批判も
IT関連
2021-04-22 14:29
「シンエヴァ」ラストシーンの修正指示はiPadで カラー、宇部新川駅が映るカットの制作過程を公開
ネットトピック
2021-07-22 18:22
AR音楽ビデオを制作できる「LEGO VIDIYO」 特殊パーツで映像・音声演出 Universal Musicが音楽提供
アプリ・Web
2021-01-29 02:04
ファンドマネージャーなら買ってみたい9社、「買収価値」から割安と判断
IT関連
2021-02-25 01:15
KDDI、通信網と請求管理の中継システムをクラウド化–オラクルとNECで実施
IT関連
2024-02-11 11:45