Deep Instinctはこのほど、「Threat Actor 'UAC-0099' Continues to Target Ukraine」において、ウクライナを継続的に狙う脅威アクター「UAC-0099」に関する分析結果を公開した。ウクライナコンピュータ緊急対応チーム (CERT-UA: Computer Emergency Response Team of Ukraine)は2023年5月に「CERT-UA#6710」としてUAC-0099の活動を公表している。Deep Instinctは同文書が公表された後に新たなUAC-0099の攻撃を特定したとして、その内容を伝えている。

  • Threat Actor 'UAC-0099' Continues to Target Ukraine

    Threat Actor 'UAC-0099' Continues to Target Ukraine

WinRARが悪用したUAC-0099のサイバー攻撃の概要

Deep InstinctによるとUAC-0099は2023年8月初旬、ウクライナ国外からリモート勤務する会社員に対し、裁判所になりすまして悪意のあるメールを送信した。このメールにはWinRARで作成された自己展開方式の圧縮ファイルが添付されており、展開するとドキュメントに偽装したLNKファイルが解凍される。このLNKファイルは特別な細工が施されており、実行すると悪意のあるPowerShellが実行される。PowerShellはおとりの文章を作成、表示してバックグラウンドで実行される悪意のある処理を隠蔽する。バックグラウンドでは悪意のあるVBSファイルを作成し、3分ごとに実行されるようにタスクスケジュールを作成する。

  • UAC-0099による主な攻撃手順 - 提供:Deep Instinct

    UAC-0099による主な攻撃手順  引用:Deep Instinct

このVBSファイルは「LonePage」と名付けられたマルウェアで、UAC-0099のコマンド&コントロール(C2: Command and Control)サーバから追加のスクリプトを取得、実行して結果を返送する機能を持つ。Deep Instinctは2023年11月にも別のコマンド&コントロールサーバを使用した同様の攻撃を複数確認したとしている。

WinRARの脆弱性「CVE-2023-38831」を悪用した攻撃も実行

そのほか、UAC-0099はWinRARの脆弱性「CVE-2023-38831」を悪用した攻撃を行ったことが確認されている。この脆弱性は「WinRARに悪意のあるコード実行の脆弱性、ただちにアップデートを | TECH+(テックプラス)」にて報じたとおり、WinRARが誤って悪意あるファイルを実行してしまう脆弱性で、さまざまな脅威アクターに悪用されている。この脆弱性はUAC-0099が悪用した後に詳細が公表されたことから、UAC-0099は公表前から脆弱性を知っていた可能性が高いとみられている。

Deep InstinctはUAC-0099が使用する戦術について、「戦術はシンプルでPowerShellやVBSを実行するタスクスケジュールに依存している」と指摘。これらファイルやタスクスケジュールを監視、制限することで同様の攻撃を回避、または検出できるとしている。また、WinRARの脆弱性は今後も継続して狙われる可能性があるため、WinRARの利用者に最新バージョンへの速やかなアップデートを推奨している。