ロシアのユーザーを狙う多段階フィッシング攻撃：Amnesia RATとランサムウェアを展開

ロシアの組織を標的とした高度なフィッシングキャンペーン

Fortinet FortiGuard Labsのセキュリティ研究者は、ロシアのユーザーを標的とした多段階フィッシングキャンペーンを発見した。この攻撃では、ランサムウェアと**Amnesiaリモートアクセストロジャン（RAT）**が展開され、ソーシャルエンジニアリングを駆使したビジネス文書を装った手口で感染を開始する。

攻撃チェーンの技術的詳細

Fortinetの研究者Cara Linによると、このキャンペーンは一見正規の文書に見せかけた悪意あるドキュメントを使用し、被害者をだましてペイロードを実行させる。完全な技術的詳細は調査中だが、攻撃は以下のような多段階の感染プロセスを経ると考えられる：

• フィッシングメールに添付された武器化されたドキュメントによる初期侵害
• 悪意あるマクロやエクスプロイトの実行による二次ペイロードのダウンロード
• Amnesia RATの展開によるリモートアクセスと持続性の確保
• ランサムウェアによる暗号化を最終ペイロードとして実行

Amnesia RATの使用は、攻撃者が侵害されたシステムへの長期的なアクセスを維持し、データの窃取、ラテラルムーブメント（横展開）、またはさらなるマルウェアの展開を可能にすることを示唆している。

影響と脅威分析

このキャンペーンは、ロシアの組織に対して以下のような重大なリスクをもたらす：

• リモートアクセストロジャン機能によるデータ漏洩
• ランサムウェア暗号化による業務停止
• 身代金要求や復旧コストによる経済的損失
• 機密情報の窃取によるスパイ活動の可能性

ビジネス文書を装った手口は、企業や政府機関を標的としていることを示しており、日常的なファイル交換が悪意ある添付ファイルの隠れ蓑として利用されている。

防御のための推奨対策

セキュリティチームは、以下の対策を実施することが推奨される：

• 信頼できない文書からのマクロ実行をブロックするセキュリティポリシーの強化
• 高度なメールフィルタリングの導入によるフィッシング詐欺の検出
• 不審なプロセス実行の監視（例：ドキュメントから生成されるバイナリ）
• ラテラルムーブメントを制限するためのネットワークセグメンテーション
• ランサムウェアの影響を軽減するためのオフラインバックアップの維持
• ソーシャルエンジニアリング手口の認識向上のための従業員教育

Fortinetは、このキャンペーンを特定の脅威アクターに帰属させたり、Amnesia RAT以外の既知のマルウェアファミリーと関連付けたりしていない。さらなる分析が進行中で、追加の**侵害指標（IOCs）**の特定が進められている。

出典：The Hacker News