日本プルーフポイント株式会社は8月29日、プルーフポイントのリサーチャーが「Voldemort」と名付けたマルウェアを配信する特異的な攻撃キャンペーンについて同社ブログで発表した。
プルーフポイントのリサーチャーは2024年8月に、カスタムマルウェアを配信するために斬新な攻撃チェーンを使用する特異的な攻撃キャンペーンを確認しており、マルウェア内で使用されている内部ファイル名と文字列に基づいて「Voldemort」と命名したという。
リサーチャーが確認した攻撃チェーンは、多くの攻撃で流通している複数の手法とともに、Google スプレッドシートをコマンド・アンド・コントロール(C2)のために使用するなど一般的ではない手法で構成され、その戦術や技術、手順(TTP)の組み合わせ、各国の政府機関になりすました誘いテーマ、「test」のような奇妙なファイル名とパスワードは注目に値するとしている。リサーチャーは当初、レッドチームによる活動ではないかと疑っていたが、大量のメッセージとマルウェアの分析で攻撃グループによるものと断定している。
攻撃キャンペーンは標的が広範囲に及び、典型的なサイバー犯罪の特徴と一致しているにもかかわらず、活動の性質とマルウェアの機能は、現時点で金銭的利益よりもスパイ活動への関心の高さを示しており、プルーフポイントでは、この攻撃キャンペーンは情報収集を目的としたAPT(高度標的型攻撃)である可能性が高いと中程度の確信を持って評価している。
VoldemortはC言語で書かれたカスタム・バックドアで、情報収集や追加のペイロードを投下する機能を備えており、この攻撃グループのインフラ上でCobalt Strikeがホストされていることをプルーフポイントでは確認しており、これが配信されるペイロードの1つである可能性が高いと推測している。
同ブログでは、この攻撃キャンペーンの詳細やマルウェア解析の結果について掲載している。
