クラウドを悪用する新APT「CloudSorcerer」、ロシア政府を狙う

 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-08 20:44 by admin

CloudSorcererは、ロシア政府機関を標的とする新しいAPT(Advanced Persistent Threat)であり、クラウドサービスとGitHubをコマンドと制御(C2)サーバーとして使用しています。このマルウェアは、Microsoft Graph、Yandex Cloud、Dropboxのクラウドインフラストラクチャを利用して、監視、データ収集、データの持ち出しを行います。攻撃者はAPIを通じて認証トークンを使用し、初期のC2サーバーとしてGitHubを活用します。

技術的には、CloudSorcererは感染したマシン上で手動で実行され、実行中のプロセスの名前を取得し、特定の条件に基づいてバックドアモジュールまたはC2通信モジュールとして機能します。バックドアモジュールはシステム情報を収集し、C2モジュールはGitHubページやMail.ruのフォトホスティングサーバーからデータをダウンロードしてクラウドサービスと通信します。

インフラストラクチャにはGitHubページとMail.ruのフォトホスティングサーバーが含まれ、GitHubページには変更されていないフォークされた3つのパブリックプロジェクトがあります。攻撃者の特定は困難ですが、CloudSorcererはCloudWizard APTとは異なる新しいアクターである可能性が高いと推定されています。

CloudSorcererはロシア連邦の政府機関を標的とし、クラウドサービスを利用したサイバースパイ活動において計画的なアプローチを示しています。このAPTは、動的に動作を適応させる能力と、Windowsパイプを介した複雑なプロセス間通信の使用により、その高度さが強調されています。CloudSorcererは、以前の技術に触発されつつ独自のツールを開発している新しいアクターであると考えられます。

【ニュース解説】

ロシア政府機関を標的とする新たなサイバー攻撃活動、CloudSorcererが発見されました。このAPT(Advanced Persistent Threat:高度な持続的脅威)は、クラウドサービスとGitHubを利用して、標的の監視、データ収集、そしてデータの外部への持ち出しを行うことが特徴です。具体的には、Microsoft Graph、Yandex Cloud、Dropboxのクラウドインフラストラクチャを通じて、攻撃者はAPIを介して認証トークンを使用し、コマンドと制御(C2)サーバーとして機能させます。また、初期のC2サーバーとしてGitHubが活用されています。

技術的な側面から見ると、CloudSorcererは感染したマシン上で手動で実行され、実行中のプロセスの名前を取得した後、そのプロセス名に基づいて異なる機能を活性化します。例えば、プロセス名がmspaint.exeであればバックドアモジュールとして機能し、msiexec.exeであればC2通信モジュールとして機能します。バックドアモジュールはシステム情報の収集を行い、C2モジュールはGitHubページやMail.ruのフォトホスティングサーバーからデータをダウンロードしてクラウドサービスと通信します。

インフラストラクチャにはGitHubページとMail.ruのフォトホスティングサーバーが含まれており、GitHubページには変更されていないフォークされた3つのパブリックプロジェクトが存在します。これらの特徴から、攻撃者の特定は困難ですが、CloudSorcererは以前に報告されたCloudWizard APTとは異なる新しいアクターである可能性が高いと推定されています。

CloudSorcererはロシア連邦の政府機関を標的としており、クラウドサービスを利用したサイバースパイ活動において計画的なアプローチを示しています。このAPTは、動的に動作を適応させる能力と、Windowsパイプを介した複雑なプロセス間通信の使用により、その高度さが強調されています。CloudSorcererは、以前の技術に触発されつつ独自のツールを開発している新しいアクターであると考えられます。

このような攻撃は、政府機関だけでなく、企業や個人にとっても重要な警告となります。クラウドサービスを利用した攻撃は、従来のセキュリティ対策を回避しやすく、迅速な対応が求められます。また、GitHubのような公開されたプラットフォームを悪用することで、攻撃の発見が遅れる可能性があります。このため、組織はクラウドサービスのセキュリティ対策を強化し、不審なアクセスや異常な通信パターンを検出するためのシステムを整備する必要があります。さらに、従業員へのセキュリティ教育を強化し、不正なソフトウェアの実行を防ぐことも重要です。CloudSorcererのようなAPT攻撃は、サイバーセキュリティの脅威の進化を示しており、常に最新の脅威情報に注意を払い、適切な対策を講じることが必要です。

from CloudSorcerer – A new APT targeting Russian government entities.

SNSに投稿する

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » クラウドを悪用する新APT「CloudSorcerer」、ロシア政府を狙う

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です