ロシア支援APT「Turla」、新マルウェアでポーランドNGOを標的に

Last Updated on 2024-02-16 12:49 by 荒木 啓介

ロシアのスポンサーを受ける高度な持続的脅威（APT）グループであるTurlaは、新たに開発されたバックドアマルウェア「TinyTurla-NG」を使用して、ウクライナ戦争の支援者であるポーランドの非政府組織（NGO）を標的にしたサイバー攻撃を行っている。このバックドアは、従来のTurlaが使用していたカスタムマルウェア「TinyTurla」と機能的に類似しており、攻撃対象の範囲を拡大していることを示している。

Cisco Talosによるブログ投稿によると、TinyTurla-NGはサービスDLLとして実装され、svchost.exeを介して起動される。しかし、このマルウェアのコードは新しく、異なるマルウェア機能が実装プロセス中の異なるスレッドを介して配布される。さらに、攻撃者のニーズに応じて、異なるPowerShellスクリプトや任意のコマンドを被害者のマシン上で実行することが可能である。これは、Turlaがマルウェアを様々なコンポーネントにモジュール化し、単一の大規模なバックドアがすべてを担当することによる検出とブロックを避けるためであると指摘されている。

また、Turlaは攻撃者にとって興味のあるファイルを抽出するために特に設計された新たなPowerShellベースのインプラント「TurlaPower-NG」も展開している。この攻撃では、TurlaはPowerShellインプラントを使用して、人気のある管理ソフトウェアのパスワードデータベースを確保し、ログイン資格情報を盗むための集中的な努力を示している。

Turlaは、ロシア政府のために攻撃を行っていると信じられている経験豊富なAPTであり、軍事組織、政府、外交機関、技術および研究組織のシステムにバックドアを展開するためにゼロデイ、正規のソフトウェア、その他の技術を使用してきた。この最新のキャンペーンは2022年12月18日に最初に妥協され、2023年1月27日まで活動が確認されているが、11月にさかのぼる可能性もある。

Turlaは新しいカスタムマルウェアを使用しているが、コマンドアンドコントロール（C2）に関しては古い戦術を引き続き使用しており、特にマルウェアをホストおよび運用するために侵害されたWordPressベースのウェブサイトをC2として利用している。Cisco Talosは、最新のTurlaキャンペーンのための侵害の指標（IoC）のリストと、対象となる可能性のある組織が保護を提供できるセキュリティソリューションのリストを含む。

Cisco Talosは、組織が初期の侵害から最終的なペイロードの展開までの悪意のある活動を検出し、ブロックすることを可能にする「層状防御モデル」を使用することを推奨している。これは、複数の攻撃面を通じてこのような高度に動機付けられたかつ洗練された敵に対して検出し、保護することが不可欠であると述べている。

【ニュース解説】

ロシア政府の支援を受けるとされる高度な持続的脅威（APT）グループであるTurlaが、新たに開発したバックドアマルウェア「TinyTurla-NG」を用いて、ウクライナ戦争を支持するポーランドの非政府組織（NGO）を標的にしたサイバー攻撃を行っています。この攻撃は、Turlaがこれまでに使用してきたカスタムマルウェア「TinyTurla」と機能的に似ていますが、よりモジュール化された構造を持ち、攻撃の範囲を拡大していることが特徴です。

TinyTurla-NGは、サービスDLLとして実装され、Windowsのsvchost.exeを介して起動されます。このマルウェアは新しいコードを採用しており、異なる機能を持つ複数のスレッドを通じてマルウェアの機能が配布されます。また、攻撃者のニーズに応じて、様々なPowerShellスクリプトやコマンドを実行することが可能です。これにより、Turlaはマルウェアを様々なコンポーネントに分割し、一つの大きなバックドアが全てを担うことによる検出やブロックを回避しようとしています。

さらに、Turlaは「TurlaPower-NG」と呼ばれる新しいPowerShellベースのインプラントも展開しており、これは特に攻撃者にとって興味のあるファイルを抽出するために設計されています。この攻撃では、Turlaはこのインプラントを使用して、人気のある管理ソフトウェアのパスワードデータベースを確保し、ログイン情報の窃取を試みています。

Turlaは長年にわたり、ロシア政府のために活動しているとされる経験豊富なAPTグループです。軍事組織、政府、外交機関、技術および研究組織のシステムにバックドアを展開するために、ゼロデイ攻撃や正規のソフトウェア、その他の技術を使用してきました。この最新のキャンペーンは、2022年12月18日に最初に確認され、2023年1月27日まで活動が続いていることが報告されていますが、実際にはそれ以前の11月から始まっている可能性があります。

Turlaは新しいカスタムマルウェアを使用していますが、コマンドアンドコントロール（C2）に関しては、侵害されたWordPressベースのウェブサイトを利用するという古い戦術を引き続き使用しています。これにより、マルウェアのホストや運用が可能になります。

このような高度で洗練されたAPT攻撃に対抗するためには、組織が層状防御モデルを採用し、初期侵害から最終ペイロードの展開までの悪意ある活動を検出し、ブロックすることが重要です。これにより、複数の攻撃面を通じて、このような高度に動機付けられた敵に対して検出し、保護することが可能になります。

この攻撃は、サイバーセキュリティの脅威が常に進化していることを示しており、組織は常に警戒を怠らず、最新のセキュリティ対策を講じる必要があります。また、攻撃者が新しい技術や戦術を採用するにつれて、防御側もそれに応じて対策を更新し続けることが求められます。

from Russian APT Turla Wields Novel Backdoor Malware Against Polish NGOs.