Last Updated on 2024-06-25 09:18 by 門倉 朋宏
ロシアに関連する国家支援のサイバー攻撃グループAPT28は、Microsoft Windowsのプリントスプーラーのセキュリティ上の欠陥を悪用して、未知のカスタムマルウェア「GooseEgg」を配布した。この攻撃ツールは、少なくとも2020年6月から使用されており、2019年4月からの可能性もある。この欠陥(CVE-2022-38028、CVSSスコア:7.8)は、特権昇格を可能にし、2022年10月にMicrosoftによってパッチが適用された。この欠陥の報告は、当時アメリカ国家安全保障局(NSA)によって行われた。
APT28(別名Fancy Bear、Forest Blizzard)は、このバグを悪用して、ウクライナ、西欧、北米の政府、非政府組織、教育、交通部門の組織を狙った攻撃に使用した。GooseEggは、JavaScriptの制約ファイルを変更し、SYSTEMレベルの権限で実行することでCVE-2022-38028の脆弱性を悪用する。GooseEggは、コマンドラインで指定された他のアプリケーションを高い権限で起動するシンプルなランチャーアプリケーションであり、リモートコード実行、バックドアのインストール、侵害したネットワーク内での横移動など、脅威アクターが追跡する目的をサポートする。
Forest Blizzardは、ロシア連邦軍情報局(GRU)のUnit 26165に所属していると評価されている。このクレムリン支援のハッキンググループは、約15年間活動しており、主にロシア政府の外交政策イニシアチブを支援する情報収集に焦点を当てている。近月には、APT28のハッカーがMicrosoft Outlook(CVE-2023-23397、CVSSスコア:9.8)の特権昇格の欠陥やWinRAR(CVE-2023-38831、CVSSスコア:7.8)のコード実行バグを悪用していることが示されている。
一方、IBM X-Forceは、Gamaredonアクター(別名Aqua Blizzard、Hive0051、UAC-0010)による新しいフィッシング攻撃を明らかにした。これらの攻撃は、新しいGammaLoadマルウェアのバリエーションを配布しており、感染チェーンを開始するVBSベースのバックドアGammaLoad.VBS、Base64エンコードされたVBSペイロードのシリーズをダウンロードして実行するGammaStager、.EXEペイロードを実行するGammaLoadPlus、既知のPowerShellバックドアであるGammaSteelをロードするGammaInstall、GammaLoadのPowerShell実装であるGammaLoad.PS、USBデバイスに自身を拡散するコードを含むPowerShellバリアントのGammaLoadLight.PS、ホストから様々な情報を収集するPowerShellベースの列挙スクリプトのGammaInfo、特定の拡張子を持つファイルを被害者から盗み出すPowerShellベースのマルウェアのGammaSteelが含まれる。
【ニュース解説】
ロシアに関連する国家支援のサイバー攻撃グループであるAPT28が、Microsoft Windowsのプリントスプーラーのセキュリティ上の欠陥を利用して、未知のカスタムマルウェア「GooseEgg」を配布したことが明らかになりました。この攻撃は、2020年6月から使用されている可能性があり、さらに遡ると2019年4月からの可能性も指摘されています。このセキュリティ上の欠陥(CVE-2022-38028)は、特権昇格を可能にするもので、2022年10月にMicrosoftによって修正されました。この修正は、アメリカ国家安全保障局(NSA)の報告によるものです。
APT28は、この脆弱性を悪用して、ウクライナ、西欧、北米の政府機関や非政府組織、教育機関、交通部門などを狙った攻撃に使用しました。GooseEggは、JavaScriptの制約ファイルを変更し、SYSTEMレベルの権限で実行することで、この脆弱性を悪用します。このツールは、コマンドラインで指定されたアプリケーションを高い権限で起動することができ、リモートコード実行やバックドアのインストール、侵害したネットワーク内での横移動など、さまざまな攻撃活動を支援することが可能です。
APT28は、ロシア連邦軍情報局(GRU)のUnit 26165に所属しているとされ、約15年間にわたり活動しています。このグループは、ロシア政府の外交政策を支援する情報収集に焦点を当てています。また、APT28はMicrosoft OutlookやWinRARの脆弱性を悪用するなど、公開された脆弱性を迅速に攻撃手法に取り入れる能力を持っています。
一方で、IBM X-Forceは、Gamaredonアクターによる新しいフィッシング攻撃を報告しています。これらの攻撃では、新しいGammaLoadマルウェアのバリエーションが使用されており、感染チェーンの開始、ペイロードのダウンロードと実行、PowerShellバックドアのロードなど、さまざまな機能を持つマルウェアが配布されています。
このような国家支援のサイバー攻撃グループによる活動は、国際的なセキュリティ上の脅威を示しています。これらの攻撃は、政府機関や重要なインフラを狙うことで、国家の安全保障や経済に深刻な影響を与える可能性があります。また、これらの攻撃は、サイバーセキュリティの重要性を改めて浮き彫りにし、組織や個人がセキュリティ対策を強化する必要性を示しています。特に、ソフトウェアの更新やパッチの適用、セキュリティ対策の見直しは、サイバー攻撃から身を守るための基本的な手段です。
from Russia's APT28 Exploited Windows Print Spooler Flaw to Deploy 'GooseEgg' Malware.
