WordなどMicrosoft製品を悪用する「Storm-0978」の恐ろしい手口とはロシア系ハッカー集団「Storm-0978」の手口【前編】

2023年夏頃からロシア系サイバー犯罪集団「Storm-0978」の攻撃活動が盛んだ。特に注意が必要なのはMicrosoft製品のユーザー企業だ。Storm-0978はどのような攻撃を仕掛けているのか。

2023年11月17日 05時00分 公開
[Arielle WaldmanTechTarget]

 Microsoftはロシア系サイバー犯罪集団「Storm-0978」(別名「RomCom」)が同社製品を悪用し、世界各国でさまざまな組織を攻撃していると見て警鐘を鳴らしている。Microsoftによると、Storm-0978は主に2種類の手法を攻撃に使っている。どのような手口なのか。

メールだけではない、Microsoft製品を悪用する「Storm-0978」の手口

 Storm-0978の活動には主にメールによる攻撃とランサムウェア(身代金要求型マルウェア)攻撃の2つの手法があるとMicrosoftは説明する。前者では欧米の政府機関や軍事組織といった標的に、文書作成ソフトウェア「Microsoft Word」の悪意あるファイルが添付されたメールを送信する。Microsoftによると、メールはウクライナの非営利団体や北大西洋条約機構(NATO)の関係者が送信元であるかのように見せかけている。

 Microsoftによれば、Storm-0978は悪意のあるWordファイルをダウンロードさせることで、標的のシステムにバックドア(不正侵入の入り口)を設ける。SolarWindsのネットワーク管理ツール「Orion Platform」やオープンソースのパスワード管理ツール「KeePass Password Safe」といった正規ソフトウェアになりすました不正プログラムを攻撃に使用するケースもあるという。

 セキュリティベンダーBlackBerryもNATOなどの関係者を狙ったStorm-0978の攻撃を観測しているという。同社によると、攻撃者の出身国は不明だが、ロシアによるウクライナ侵攻を支持している人物である可能性がある。

 ランサムウェア攻撃では、Storm-0978はメールによる攻撃とは違う組織を標的にしているとMicrosoftはみている。ランサムウェア攻撃の主な標的は通信事業者や金融機関だという。同社によると、Storm-0978はOS「Windows」のレジストリ(Windows設定情報のデータベース)を使い、セキュリティ機能「SAM」(Security Account Manager)からパスワードを盗み取ってシステムに侵入する。


 後編は、Microsoftのオフィススイート「Microsoft Office」向けセキュリティツール「Microsoft Defender for Office 365」の脆弱(ぜいじゃく)性を悪用した、Storm-0978の攻撃を取り上げる。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news050.jpg

ウェルビーイング調査 今後最も力を入れたい分野は「身体」、優先度が低いのは?
ASAKO サステナラボは、独自の「60のウェルビーイング指標」により生活者の充足度を数値...

news068.png

10代の7割超がショート動画を「ほぼ毎日見ている」――LINEリサーチ調査
LINEリサーチは全国の男女を対象に、ショート動画に関する調査を実施しました。

news158.png

自社の変化に対して行動する従業員はわずか2割 なぜそうなる?――電通調査
自社の変化に対する従業員の意識について確認するための調査結果です。