ロシア関連UAC-0050、RMSマルウェアで欧州金融セクターを標的とするサイバースパイ活動を拡大

ロシア関連の脅威アクターUAC-0050が欧州金融セクターを標的

ロシアとつながりのある脅威アクターUAC-0050が、欧州の金融機関を標的としたソーシャルエンジニアリング攻撃を実行し、情報収集や金融窃取を目的としていることが確認されました。このキャンペーンは、同グループの活動範囲がウクライナを越えて拡大し、紛争国を支援する組織に焦点を当てている可能性を示しています。

攻撃の主な詳細

• 脅威アクター：UAC-0050（ロシア関連）
• 標的：匿名の欧州金融機関
• 戦術：なりすましドメインおよびRMS（Remote Manipulator System）マルウェア
• 目的：サイバースパイ活動または金融情報の窃取の可能性が高い
• 地政学的背景：ウクライナ中心の活動から、より広範な欧州の標的へシフト

技術分析

これまでウクライナの組織を標的としてきたUAC-0050は、RMSマルウェアを採用しています。RMSは本来、正規のリモート管理ツールですが、悪意のある目的で悪用されています。この攻撃では、なりすましドメインを利用して被害者を欺き、マルウェアを実行させ、侵害されたシステムへの持続的なアクセスを可能にしました。

正確な感染経路は明らかにされていませんが、ソーシャルエンジニアリングの手法（フィッシングメールや偽のウェブサイトなど）がペイロードを配信するために使用された可能性が高いです。RMSマルウェアは、脅威アクターに以下の機能を提供します：

• 感染システムのリモート制御
• データ窃取機能
• 検出回避のための持続性メカニズム

影響と戦略的意味合い

欧州の金融機関を標的としたことは、UAC-0050が活動範囲を拡大していることを示唆しており、地政学的な動向への対応である可能性があります。金融機関は以下の理由から高価値な標的となります：

• 情報収集（例：取引監視）
• 直接的な金融窃取（例：不正送金）
• サプライチェーンの混乱（例：支払いシステムの標的化）

防御のための推奨事項

金融機関のセキュリティチームは以下の対策を講じるべきです：

1. 正規サービスに似たなりすましドメインの監視を強化する。
2. 業務上必要がない限り、RMSや類似のリモート管理ツールを制限する。
3. フィッシング対策の啓発トレーニングを実施し、ソーシャルエンジニアリングのリスクを軽減する。
4. EDR/XDRソリューションを導入し、異常なリモートアクセス活動を検出する。
5. UAC-0050に関連する侵害指標（IoC）を対象とした脅威ハンティングを実施する。

このキャンペーンは、金銭的動機と国家支援型アクターの標的が重複する進化する脅威環境を浮き彫りにしています。