WordなどMicrosoft製品を悪用する「Storm-0978」の恐ろしい手口とはロシア系ハッカー集団「Storm-0978」の手口【前編】

2023年夏頃からロシア系サイバー犯罪集団「Storm-0978」の攻撃活動が盛んだ。特に注意が必要なのはMicrosoft製品のユーザー企業だ。Storm-0978はどのような攻撃を仕掛けているのか。

2023年11月17日 05時00分 公開
[Arielle WaldmanTechTarget]

 Microsoftはロシア系サイバー犯罪集団「Storm-0978」(別名「RomCom」)が同社製品を悪用し、世界各国でさまざまな組織を攻撃していると見て警鐘を鳴らしている。Microsoftによると、Storm-0978は主に2種類の手法を攻撃に使っている。どのような手口なのか。

メールだけではない、Microsoft製品を悪用する「Storm-0978」の手口

 Storm-0978の活動には主にメールによる攻撃とランサムウェア(身代金要求型マルウェア)攻撃の2つの手法があるとMicrosoftは説明する。前者では欧米の政府機関や軍事組織といった標的に、文書作成ソフトウェア「Microsoft Word」の悪意あるファイルが添付されたメールを送信する。Microsoftによると、メールはウクライナの非営利団体や北大西洋条約機構(NATO)の関係者が送信元であるかのように見せかけている。

 Microsoftによれば、Storm-0978は悪意のあるWordファイルをダウンロードさせることで、標的のシステムにバックドア(不正侵入の入り口)を設ける。SolarWindsのネットワーク管理ツール「Orion Platform」やオープンソースのパスワード管理ツール「KeePass Password Safe」といった正規ソフトウェアになりすました不正プログラムを攻撃に使用するケースもあるという。

 セキュリティベンダーBlackBerryもNATOなどの関係者を狙ったStorm-0978の攻撃を観測しているという。同社によると、攻撃者の出身国は不明だが、ロシアによるウクライナ侵攻を支持している人物である可能性がある。

 ランサムウェア攻撃では、Storm-0978はメールによる攻撃とは違う組織を標的にしているとMicrosoftはみている。ランサムウェア攻撃の主な標的は通信事業者や金融機関だという。同社によると、Storm-0978はOS「Windows」のレジストリ(Windows設定情報のデータベース)を使い、セキュリティ機能「SAM」(Security Account Manager)からパスワードを盗み取ってシステムに侵入する。


 後編は、Microsoftのオフィススイート「Microsoft Office」向けセキュリティツール「Microsoft Defender for Office 365」の脆弱(ぜいじゃく)性を悪用した、Storm-0978の攻撃を取り上げる。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news029.jpg

ブランドリスクの要因は「トランプ大統領」 どうするCMO――2025年のマーケティング予測10選【後編】
2025年はCMOの役割と課題が大きく変化すると予想される。具体的には何が起こるのか。「Ma...

news156.jpg

AIはGoogleの地位を揺るがしているのか? Domoが年次レポートを公開
Domoの年次レポート「Data Never Sleeps」は、インターネット上で1分間ごとに起きている...

news162.jpg

3500ブランドの市場・生活者データでマーケターのアイデア発想を支援 マクロミル「Coreka」でできること
マクロミルが創業25年で培ったリサーチや分析ノウハウを結集し、アイディエーションプラ...