ウクライナコンピュータ緊急対応チーム (CERT-UA: Computer Emergency Response Team of Ukraine)は6月10日(現地時間)、ウクライナのラジオ局や新聞などのメディア組織に対する大規模なサイバー攻撃が確認されていると発表した。攻撃は大量の電子メール送信から始まり、CVE-2022-30190として追跡されている脆弱性を悪用して「CrescentImp」と呼ばれるマルウェアに感染させるというもの。UCRT-UAによると、攻撃にはロシア軍に属する脅威グループの「Sandworn」が関与しているという。

CVE-2022-30190は2022年5月30日に情報が公開されたばかりのMicrosoft Support Diagnostic Tool(MSDT)に関する新しいゼロデイ脆弱性で、「Follina」という通称でも知られている。この脆弱性を悪用すると、WordなどのOffice文書ファイルにおけるリモートテンプレート機能を用いて標的のマシンで任意のコードの実行や不正なプログラムのインストール、アカウントの新規作成、データの閲覧や削除、変更などを行うことができる。詳細はMicrosoft Security Response Centerの次のブログ記事にまとめられている。

今回の攻撃では、このCVE-2022-30190を悪用した攻撃コードを含む「LIST_of_links_in_interactive_maps.docx」というファイル名のWord文書を電子メールに添付し、これを開いたユーザーのPCをCrescentImpと呼ばれるマルウェアに感染させる。

CrescentImpは高い検出回避能力を持つことで知られるトロイの木馬型マルウェアで、機密情報の盗み出しやスパムメールの送信、別のマルウェアへの感染、暗号資産のマイニングなどの被害をもたらす。また、ランサムウェアのバックドアとして使用されるケースも多数報告されている。

CERT-UAでは、攻撃者がCVE-2022-30190の悪用を続けており、侵害された政府の電子メールを使用して攻撃を拡大していると警告している。

  • ウクライナのメディア組織を標的とした電子メール攻撃

    ウクライナのメディア組織を標的とした電子メール攻撃