Intezerは12月9日(米国時間)、「Intezer - Russian APT Uses COVID-19 Lures to Deliver Zebrocy」において、脅威グループ「Sofacy」が新型コロナウイルス感染症をルアーとして使ったフィッシングキャンペーンを展開し、マルウェア「Zebrocy」の配布を行っていると指摘した。

マルウェアの配布は仮想ハードドライブファイル(VHD)の形式で行われていたという。仮想ドライブファイルには製薬会社であるSinopharm International Corporationに関連することを装ったドキュメント、民間航空局長から避難を促す偽の手紙が含まれていたという。

  • Intezer

    Intezer - Russian APT Uses COVID-19 Lures to Deliver Zebrocy

Zebrocyは脅威グループSofacy(Sednit、APT28、Fancy Bear、STRONTIUMとも呼ばれる)によって使われているマルウェア。外交に従事する政府や商業組織に対して使われることが多く、被害対象には日本の組織も含まれる。通常はスピアフィッシングメールを介して感染を広める。

Zebrocyは感染したホストに関する情報をC&Cサーバに送信したのち、ダウンローダとして次のマルウェアのインストールを行う。ダウンローダの多くはコードベースを改善して新しい機能を追加したり検出を回避したりする機能を実装するが、Zebrocyは実装はシンプルな状態を保ちつつ、実装するプログラミング言語を変更するというユニークな方法を採用している。

Intezerは、新型コロナウイルス感染症をルアーとして使った攻撃が依然として脅威であること、新型コロナウイルス感染症のワクチンが一般に利用可能になるにつれてより多くの攻撃が行われる可能性を示唆している点。

サイバー攻撃は時事を悪用して巧みにターゲットにマルウェアの感染を促してくる。マルウェア感染を促すメールの内容は巧妙であり、一見すると、正規のメールと区別がつかない内容のこともある。標的型攻撃では文脈を加味したメールを送信してくるなど、業務に関連するメールと区別することが難しく注意が必要。少しでも違和感を感じたらメールに含まれているリンクはクリックしない、添付メールは開かない、送付元にメール以外の正規の手段で確認を取るなど、推奨されている対策を取ることが望まれる。