トロイ化されたESETインストーラーがウクライナのフィッシング攻撃でKalamburバックドアを展開

新たなサイバー脅威クラスターが出現し、スロバキアのサイバーセキュリティ企業ESETを偽装してウクライナの組織を狙ったフィッシング攻撃を行っています。2025年5月に検出され、ESETはこのキャンペーンをコードネームInedibleOchotenseとして追跡しており、ロシアの利益に連動していると考えられています。攻撃者は標的となるウクライナ各地に、改ざんされたESETインストーラーへのリンクを含むスピアフィッシングメールやSignalメッセージを送信しました。これらの通信は主にウクライナ語で書かれているものの、最初の行にロシア語の単語が含まれており、翻訳ミスかメッセージ作成時の不注意を示唆しています。\n\nフィッシングメールは、ESETの監視チームが受信者のメールに関連する疑わしいプロセスを検出し、システムが侵害されている可能性があると虚偽の警告を出します。この手法はESETの強力な評判とウクライナでの広範な利用を利用し、esetsmart[.]comやesetremover[.]comのような正規ESETサービスを模倣したドメインから悪意あるソフトウェアをダウンロードさせることを狙っています。改ざんされたインストーラーには正規のESET AV Removerツールに加え、Kalambur（別名SUMBUR）と呼ばれるバックドアが含まれています。このバックドアは匿名性のためTorネットワークを介して通信し、OpenSSHを展開し、ポート3389でリモートデスクトップアクセスを有効にして感染マシンの遠隔操作を可能にします。\n\nさらなる調査により、この活動は以前に文書化されたBACKORDERバックドアを含むキャンペーンや、CERT-UAがUAC-0212およびUAC-0125として監視するクラスターに関連していることが判明しました。これらは悪名高いSandworm（APT44）ハッキング集団のサブグループです。Sandwormは2025年4月に未公表の大学に対してZEROLOTやStingといった破壊的なワイパーマルウェアを展開するなど、ウクライナで破壊的なサイバー攻撃を継続しています。これらの攻撃は政府、エネルギー、物流、穀物産業など多様な分野に及んでいます。ESETはまた、UAC-0099がSandwormの初期アクセスを支援したことを指摘し、これら脅威アクターの多層的かつ協調的な性質を強調しています。\n\nSandwormの活動に加え、RomCom（複数の別名でも知られる）という別のロシア関連グループが2025年7月中旬にスピアフィッシングキャンペーンを実施しました。RomComは高深刻度のWinRARのゼロデイ脆弱性（CVE-2025-8088）を悪用し、ヨーロッパとカナダの金融、製造、防衛、物流企業を標的としました。成功した攻撃はSnipBot、RustyClaw、MythicエージェントなどRomComに関連する複数のバックドアやリモートアクセスツールをインストールしました。分析者はRomComが当初はサイバー犯罪のコモディティマルウェアとして機能していたが、ウクライナ紛争に関連する地政学的イベントに焦点を当てたロシア国家支援の作戦のためのユーティリティに進化したと指摘しています。\n\nこれらキャンペーンの高度化と持続性は、ウクライナ紛争におけるサイバー戦争の側面を浮き彫りにしています。攻撃者はブランド偽装、ゼロデイ脆弱性、多段階マルウェア展開を駆使して重要システムに侵入しています。正規ツールと悪意あるコンポーネントの併用やESETのような信頼されたソフトウェアブランドの悪用により、防御戦略は依然として困難です。この進化する脅威環境は、サイバーセキュリティコミュニティと影響を受ける分野全体での警戒強化、検出能力の向上、協調的対応を求めています。