CERT ウクライナ: Microsoft Outlook ドメインの電子メールを介して配布される偽の Windows 更新プログラムに注意してください

ウクライナのコンピューター緊急対応チーム (CERT) は、偽の Windows 更新プログラムを電子メールで配布する悪意のあるキャンペーンについて警告を発しました。これらの偽の電子メールは明らかに悪意があり、ウクライナの当局者を標的にしています。CERT は、攻撃者が正規のものであるかのように見えるように outlook.com ドメインを使用しており、これらのメールの件名には通常、物事を単純にする方法として「Windows Update」というラベルが付けられていると指摘しています。CERT は、このキャンペーンは、ロシアの高度持続型脅威マルウェア グループに分類される APT28 グループによって実行されていると付け加えています。ファンシーベア、ポーンストームなどの名前でも知られています。

その速報で、CERT は次のように説明しています (Google で英語に翻訳)。

2023 年 4 月、ウクライナ CERT-UA の政府コンピューター緊急対応チームは、部門のシステム管理者に代わって送信されたと思われる、ウクライナの政府機関間で「Windows Update」という件名の電子メールが配布された事例を記録しました。同時に、公共サービス「@outlook.com」で作成された送信者の電子メール アドレスは、従業員の本名とイニシャルを使用して作成できます。

攻撃者がどのようにペイロードを配信しているのか疑問に思われる方のために、CERT は、偽の電子メールは基本的に、攻撃を成功させるために必要な指示の概要を説明していると説明しています。被害者が自分のシステムにマルウェアをインストールするのに役立つ画像が提供されています (ここを参照)。これは、PowerShell コマンドを使用して行われます。このスクリプトは、「’tasklist’、’systeminfo’ コマンドを使用してコンピューターに関する基本情報を収集し、受信した結果を HTTP リクエストを使用して Mocky サービス API に送信するように設計されている」スクリプトをさらにダウンロードするようです。キャンペーンは基本的に、潜在的な被害者自身の素朴さに依存してシステムに感染します。

CERT の公式発表はこちらでご覧いただけます。