innovaTopia

Tech for Human Evolution

ロシア寄りサイバー諜報グループ、欧州外務省を標的に新バックドア使用

ロシア寄りサイバー諜報グループ、欧州外務省を標的に新バックドア使用 - innovaTopia - (イノベトピア)

ESETは、未記載のヨーロッパの外務省(MFA)とその中東にある3つの外交使節団が、LunarWebおよびLunarMailとして追跡される2つの新たなバックドアによって標的にされたと特定した。これらの活動は、以前に同グループによって実行されたと特定されたキャンペーンとの戦術的な重複を引用して、中程度の確信を持ってロシア寄りのサイバー諜報グループであるTurla(別名Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos, Venomous Bear)に帰属された。

LunarWebはサーバーに展開され、HTTP(S)を使用してC&C(コマンドアンドコントロール)通信を行い、正当なリクエストを模倣する。一方、LunarMailはワークステーションに展開され、Outlookアドインとして永続化され、C&C通信に電子メールメッセージを使用する。これらのバックドアは、2020年初頭、あるいはそれ以前から標的攻撃に使用されていた可能性がある。

Turlaは、ロシア連邦保安庁(FSB)に所属していると評価され、少なくとも1996年以来活動している高度な持続的脅威(APT)である。政府、大使館、軍事、教育、研究、製薬セクターなど、幅広い業界を標的にしてきた実績がある。

MFAへの侵入ベクトルは現在不明であるが、スピアフィッシングや誤設定されたZabbixソフトウェアの悪用が関与している可能性が疑われている。攻撃チェーンの開始点は、2つの組み込みブロブをデコードするために使用されるASP.NETウェブページのコンパイルバージョンであり、これにはLunarLoaderとLunarWebバックドアが含まれる。

LunarMailは、スピアフィッシングメールを介して送信される悪意のあるMicrosoft Wordドキュメントを通じて拡散され、LunarLoaderとバックドアを搭載している。LunarWebはシステム情報を収集し、C&Cサーバーから送信されたJPGおよびGIF画像ファイル内のコマンドを解析し、結果を圧縮および暗号化された形式で抽出する機能を備えている。また、ネットワークトラフィックを正当に見えるように偽装し(例:Windowsアップデート)、シェルおよびPowerShellコマンドの実行、Luaコードの実行、ファイルの読み書き、指定されたパスのアーカイブなどのC&C命令を実行する。

LunarMailは類似の機能をサポートしているが、特にOutlookに依存し、C&Cサーバーとの通信に電子メールを使用する点が異なる。PNG添付ファイルを含む特定のメッセージを探すことで、C&C用のOutlookプロファイルの設定、任意のプロセスの作成、スクリーンショットの撮影などのコマンドが特定されている。実行結果はPNG画像またはPDFドキュメントに埋め込まれ、攻撃者が制御する受信箱への電子メールに添付ファイルとして抽出される前に埋め込まれる。

【編集者追記】用語解説

  • ESET:LunarWebとLunarMailを発見したセキュリティ企業です。これらのマルウェアは、2022年後半から欧州の外務省を狙った攻撃に使用されていたことが判明しました。
  • LunarWebとLunarMail:ロシアのサイバー諜報グループTurlaが使用している新しいバックドアマルウェアです。
  • Turla:ロシア連邦保安庁(FSB)と関連があるとされる高度な脅威グループで、2004年頃から活動しています。政府機関や大使館、軍事、教育、研究、製薬会社など、世界中の幅広い組織を標的としてきました。
  • APT(Advanced Persistent Threat):高度な技術力を持ち、長期間にわたって特定の組織を狙う脅威主体のこと。国家の支援を受けていることが多い。
  • バックドアマルウェア:正規のプログラムを装いつつ、攻撃者に秘密裏にシステムへのアクセスを可能にするマルウェアの一種。
  • ロシア連邦保安庁(FSB):ロシアの情報機関。旧ソ連時代のKGBの後継組織の一つで、国内外の諜報活動を担当している。
  • サイバー諜報:サイバー空間で行われるスパイ活動。機密情報の窃取や監視が主な目的で、国家が関与するケースが多い。
  • ゼロデイ脆弱性:ソフトウェアなどの脆弱性が発見されてから、開発者がそれを修正するまでの間に存在する脆弱性。攻撃者に悪用される危険性が高い。

【参考リンク】
ESETオフィシャルサイト(外部)

【関連記事】
innovaTopiaでサイバーセキュリティー関連の記事をもっと読む

【ニュース解説】

未記載のヨーロッパの外務省(MFA)とその中東にある3つの外交使節団が、LunarWebおよびLunarMailと呼ばれる2つの新たなバックドアによって標的にされました。これらのバックドアは、サイバー諜報活動に関与しているとされるロシア寄りのグループ、Turlaによって使用されているとESETによって特定されました。Turlaグループは、政府機関や軍事、教育、研究、製薬セクターなど、幅広い分野を標的にしてきたことで知られています。

LunarWebはサーバーに展開され、HTTP(S)を介してコマンドアンドコントロール(C&C)通信を行い、正当なリクエストを模倣することで検出を回避します。一方、LunarMailはワークステーションに展開され、Outlookアドインとして永続化され、C&C通信に電子メールメッセージを使用します。これらのバックドアは、システム情報の収集、ファイルの読み書き、コマンドの実行など、様々な機能を持っており、攻撃者が被害者のシステムを遠隔から制御することを可能にします。

この攻撃の特徴は、高度な技術と慎重な手法を用いている点にあります。例えば、LunarWebは画像ファイル内にコマンドを隠し、ネットワークトラフィックを正当なものに見せかけることで、侵入をより隠密に行います。また、LunarMailは電子メールを通じてC&Cサーバーと通信することで、通常の業務で使用されるツールを利用して攻撃を行うため、検出が困難になります。

このような攻撃は、対象となる組織にとって重大なセキュリティリスクをもたらします。機密情報の窃取やシステムの不正操作など、被害の範囲は広範に及びます。また、攻撃者が長期間にわたって検出されずに活動を続けることができれば、その影響はさらに深刻化します。

この事件は、サイバーセキュリティの重要性を改めて浮き彫りにします。特に、政府機関や外交使節団などの重要なインフラを守るためには、定期的なセキュリティチェック、従業員へのセキュリティ教育、脆弱性の迅速な修正など、包括的なセキュリティ対策が不可欠です。さらに、このような高度な脅威に対抗するためには、国際的な協力や情報共有の強化も求められます。

最後に、この事件は、サイバー諜報活動が国家間の対立や地政学的な緊張関係において重要な役割を果たしていることを示しています。サイバースペースは、従来の戦場とは異なる新たな戦場となっており、各国はこの新たな脅威に対応するための戦略を継続的に更新していく必要があります。

from Turla Group Deploys LunarWeb and LunarMail Backdoors in Diplomatic Missions.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » ロシア寄りサイバー諜報グループ、欧州外務省を標的に新バックドア使用