AceCryptor マルウェアの使用がヨーロッパで急増

AceCryptor ツール (ハッカーがマルウェアを隠し、ウイルス対策ソフトウェアで検出されずにシステムに侵入できるようにするツール) に関連する数千件の新たな感染が、ヨーロッパ全土の組織を対象とした共同の取り組みによって発見されました。

研究者は AceCryptor の監視に何年も費やしてきました。彼らは水曜日、攻撃者がカプセル化された悪意のあるコードの範囲を拡大したため、最近のキャンペーンが以前のキャンペーンとは異なっていたことを明らかにした。

従来、AceCryptor には、ウクライナの組織に対して頻繁に使用される強力なリモート監視ツールである Remcos や Rescoms などのマルウェアが伴います。研究者らは、Remcos や別の既知ツールである SmokeLoader と並んで、AceCryptor が STOP ランサムウェアや Vidar スティーラーなどのマルウェアを配布した例を指摘しました。

研究者らは、対象国ごとに明らかな違いを観察した。 SmokeLoader はウクライナでの攻撃に登場しましたが、ポーランド、スロバキア、ブルガリア、セルビアでの事件には Remcos が関与していました。

これらの作戦では、AceCryptor を利用してヨーロッパの複数の国をターゲットにし、情報を抽出したり、多数の企業への初期アクセスを取得したりしました。悪意のあるソフトウェアはスパム メールを通じて拡散され、その中には非常に説得力のあるものもあり、正規の電子メール アカウントから発信される場合もありましたが、悪用されました。

AceCryptor 攻撃はブラウザ認証情報を狙う

最近の作戦は、標的となった組織に対するその後の攻撃に備えて電子メールとブラウザの認証情報を取得することを目的としています。マルウェア サンプルの大部分は、最初の侵害ベクトルとして機能しました。

2023 年上半期に、AceCryptor を満載したマルウェアの影響を最も多く受けた国はペルー、メキシコ、エジプト、トルコで、ペルーが 4,700 件と最も多くの攻撃に耐えました。

2023 年後半には焦点がヨーロッパ諸国に移り、ポーランドが 26,000 件以上の攻撃の標的となりました。ウクライナ、スペイン、セルビアでも数千件の攻撃が発生した。

今年の後半には、Rescoms が AceCryptor によってパックされた主要なマルウェア ファミリとして浮上し、32,000 を超えるインスタンスを占めました。研究者らの報告によると、ポーランドがこうした試みの半分以上を記録し、次いでセルビア、スペイン、ブルガリア、スロバキアが続いた。

この期間中にポーランドでは合計 26,000 件以上のこれらの攻撃が記録されました。

ポーランドの企業に対する攻撃では、被害企業への B2B オファーに関連する同様の件名が取り上げられていました。ハッカーたちは、本物のポーランドの会社名と既存の従業員名を利用して、電子メールに正当性を与えようと努めました。

研究者らは、ハッカーが盗んだ認証情報を使用するために保持することを目的としているのか、それとも他の脅威アクターに販売することを目的としているのかについて不確実性を指摘しています。

研究者らは攻撃キャンペーンの発信元を特定できなかったが、Remcos と SmokeLoader はロシア政府のために活動しているハッカーと繰り返し関係している。