Last Updated on 2024-06-01 14:20 by 荒木 啓介
ロシアのGRU支援の脅威アクターAPT28が、ヨーロッパ全域のネットワークを対象にHeadLaceマルウェアとクレデンシャル収集のウェブページを使用した一連のキャンペーンを実施している。APT28は、ロシアの戦略的軍事情報部隊であるGRUに所属する高度な持続的脅威(APT)グループで、BlueDelta、Fancy Bear、Forest Blizzard、FROZENLAKE、Iron Twilight、ITG05、Pawn Storm、Sednit、Sofacy、TA422などの名前でも知られている。このハッキンググループは、高度な隠密性と洗練性を持ち、適応性を示すために深い準備とカスタムツールを使用し、正規のインターネットサービス(LIS)と土地のバイナリ(LOLBins)を利用して、通常のネットワークトラフィック内での操作を隠蔽している。
2023年4月から12月にかけて、BlueDeltaはジオフェンシング技術を使用してヨーロッパ全域のネットワークを対象にHeadLaceマルウェアを3つの異なるフェーズで展開し、特にウクライナに重点を置いていた。BlueDeltaのスパイ活動は、ロシアのウクライナに対する継続的な攻撃の文脈で、ロシアにとって軍事的に重要なエンティティに関する情報を収集するという広範な戦略を反映している。HeadLaceは、悪意のあるリンクを含むスピアフィッシングメールを介して配布され、クリックするとマルウェアをドロップするための多段階の感染シーケンスを開始する。
BlueDeltaは、第一フェーズで悪意のあるWindows BATスクリプト(つまりHeadLace)を配信するために7段階のインフラチェーンを使用し、サンドボックスとジオフェンシングのチェックに従って後続のシェルコマンドをダウンロードして実行する能力があるとされている。第二フェーズは2023年9月28日に開始し、リダイレクトインフラの起点としてGitHubを使用することが特徴であり、第三フェーズは2023年10月17日に始まり、InfinityFreeでホストされたPHPスクリプトの使用に切り替えた。第三フェーズの最後に検出された活動は2023年12月であり、その後BlueDeltaはInfinityFreeホスティングの使用を中止し、webhook[.]siteとmocky[.]ioで直接ホスティングインフラを好むようになったとされる。
さらに、BlueDeltaはYahoo!やUKR[.]netなどのサービスを対象としたクレデンシャル収集作戦を実施し、犠牲者が自分のクレデンシャルを入力するようにだますために類似ページを提供している。別の技術では、Mocky上の専用ウェブページを作成し、侵害されたUbiquitiルーター上で実行されるPythonスクリプトと対話して入力されたクレデンシャルを抽出する。APT28がこの目的で使用していたUbiquiti EdgeRoutersを含むボットネットは、今年2月に米国主導の法執行機関の作戦によって妨害された。クレデンシャル収集活動の対象には、ウクライナ国防省、ウクライナの武器輸入輸出会社、ヨーロッパの鉄道インフラ、およびアゼルバイジャンに拠点を置くシンクタンクが含まれていた。
【ニュース解説】
ロシアの軍事情報部隊GRUに支援されているAPT28というサイバー攻撃グループが、ヨーロッパ全域にわたるネットワークを狙い、特にウクライナを重点的にターゲットにしています。このグループは、HeadLaceマルウェアと呼ばれる悪意のあるソフトウェアや、クレデンシャル(ログイン情報など)を盗み出すための偽のウェブページを使用しています。この攻撃は2023年4月から12月にかけて、3つの異なる段階で行われました。
この攻撃キャンペーンの目的は、軍事的に重要な情報を収集することにあります。特に、ウクライナの国防省やヨーロッパの鉄道インフラ、さらにはアゼルバイジャンにあるシンクタンクなどが攻撃の対象となりました。これらの攻撃により、APT28は戦場の戦術やより広い軍事戦略を形成するための情報を得ることができる可能性があります。
APT28は、攻撃を隠蔽するために、正規のインターネットサービスや既存のソフトウェアツールを悪用する高度な技術を使用しています。例えば、GitHubやPHPスクリプトがホストされたサービスを利用して、マルウェアを配布するインフラストラクチャを構築しています。また、Ubiquitiルーターが侵害され、クレデンシャル収集のための基盤として使用されたことも明らかになっています。
このような攻撃は、国家支援を受けたサイバー攻撃の複雑さと、国際的なセキュリティ環境における新たな脅威の形態を示しています。攻撃の対象となる組織やインフラは、高度なセキュリティ対策と継続的な監視を必要とします。また、このような攻撃は、国際的な法執行機関による協力や、サイバーセキュリティ情報の共有を促進する必要性を強調しています。
長期的な視点では、APT28のようなグループによる攻撃は、サイバーセキュリティの規制や国際的な協力体制に影響を与える可能性があります。国家間の緊張が高まる中、サイバー空間での攻撃は、物理的な戦争と同様に、国際関係における重要な要素となっています。これにより、サイバーセキュリティを強化し、国際的な規範を確立するための取り組みが加速することが期待されます。
from Russian Hackers Target Europe with HeadLace Malware and Credential Harvesting.
