Malwarebytesは6月21日(米国時間)、「Russia's APT28 uses fear of nuclear war to spread Follina docs in Ukraine|Malwarebytes Labs」においてロシアのサイバー犯罪グループがウクライナに対して核戦争の恐怖に乗じたサイバー攻撃を行っていると伝えた。このサイバー攻撃には、Microsoft製品のゼロデイ脆弱性「Follina」が使われているという。
この度、APT28(SofacyまたはFancy Bearとも呼ばれる)という名で知られている有名なロシアのサイバー犯罪グループが、Follinaを悪用してウクライナにサイバー攻撃を仕掛けていることが判明した。Follinaは先日発見されたゼロディの脆弱性。Windowsの診断ツール(MSDT: Microsoft Support Diagnostic Tool)を悪用して、Wordドキュメントが開かれた時に悪意のあるコードがロードされる仕組みを用いる。マクロが無効になっていてもMSDT経由でコードが実行されるため注意が必要。
今回ウクライナに広められた文書は「Nuclear Terrorism A Very Real Threat」という名前のファイル。ウクライナ侵攻が核戦争にエスカレートするかもしれないという恐れを逆手にとってファイルを開かせようとする。ファイルにはリモートテンプレートが埋め込まれており、ダークウェブからマルウェアが読み込まれ、最終的にそのマルウェアがPowerShellによって実行されてしまうという。
読み込まれたマルウェアはGoogle ChromeやMicrosoft Edge、Firefoxといったブラウザに保存されたWebサイトのクレデンシャル情報を窃取すると解説されている。
FollinaはMicrosoftの6月の月例セキュリティアップデートにて修正プログラムの提供が開始された。Microsoft Officeの脆弱性を狙ったサイバー攻撃は、最新版ではない旧来のバージョンを使っているユーザーが多いことから依然として悪用のケースが多い。まだアップデートを行っていないWindowsユーザーは迅速に対応することが望まれる。