BlackBerryはこのほど、「RomCom Threat Actor Abuses KeePass and SolarWinds to Target Ukraine and Potentially the United Kingdom」において、サイバー攻撃者がパスワードマネージャー「KeePass」やシステム管理ソフト「SolarWinds」を悪用してウクライナおよび英国を標的にしていると伝えた。BlackBerryのセキュリティ研究チームが、「RomComRAT」と呼ばれる遠隔操作ウイルス(RAT: Remote Administration Tool)を分析したところ、RomComと呼ばれる攻撃グループがキャンペーンを展開していることがわかった。

  • RomCom Threat Actor Abuses KeePass and SolarWinds to Target Ukraine and Potentially the United Kingdom

    RomCom Threat Actor Abuses KeePass and SolarWinds to Target Ukraine and Potentially the United Kingdom

RomComのキャンペーンにおいて、以下のソフトウェアプロダクトになりすまして攻撃が行われていることが明らかとなった。

  • SolarWinds Network Performance Monitor
  • KeePass Open-Source Password Manager
  • PDF Reader Pro

攻撃グループはこれらのソフトを装ったマルウェアが含まれた偽のソフトウェアを配布する公式に偽造したWebサイトを作成し、ユーザーをだましてRomComRATをインストールさせようとしていたという。

  • Fake SolarWinds website|BlackBerry Blog

    Fake SolarWinds website|BlackBerry Blog

  • Fake KeePass website|BlackBerry Blog

    Fake KeePass website|BlackBerry Blog

  • PDF Reader Pro spoofed website in Ukrainian|BlackBerry Blog

    PDF Reader Pro spoofed website in Ukrainian|BlackBerry Blog

分析されたキャンペーンの主なターゲットはウクライナの軍事機関とされているが、英国を含む英語圏の国々もターゲットにされていると推測されている。推測の理由として、悪意のある2つの偽造Webサイトの利用規規約(TOS: Terms Of Service)ページが英国の会社によってホストされていることや、コマンド&コントロール(C2: Command and Control)サーバ で利用されているSSL証明書が英国の所有権をエミュレートしていることが挙げられている。

標的の地理的条件と現在の地政学的状況を考慮した場合、RomComの脅威アクターの真の動機が純粋にサイバー犯罪的なものであるかどうかは不明と伝えられている。