Last Updated on 2024-08-04 08:06 by admin
ロシアに関連する脅威アクター「APT28」(別名:BlueDelta、Fancy Bear、Fighting Ursaなど)が、新たなフィッシングキャンペーンを展開している。このキャンペーンでは、車の販売を装ったフィッシング手法を用いて、「HeadLace」と呼ばれるWindowsバックドアマルウェアを配布している。
Palo Alto Networks Unit 42の2024年8月4日の報告によると、このキャンペーンは2024年3月頃から開始され、主に外交官を標的としている。
攻撃者は正規サービスのwebhook[.]siteを利用して悪意のあるHTMLページをホストし、ターゲットのマシンがWindowsを実行しているかチェックする。Windowsの場合、ZIPアーカイブ(IMG-387470302099.zip)のダウンロードを促す。非Windows系の場合、ImgBBにホストされた偽装画像(Audi Q7 Quattro SUV)にリダイレクトする。
ZIPアーカイブには、正規のWindowsの電卓実行ファイル(IMG-387470302099.jpg.exe)、DLLファイル(WindowsCodecs.dll)、バッチスクリプト(zqtxmo.bat)が含まれている。これらのファイルは、HeadLaceバックドアの一部として機能し、最終的にBase64エンコードされたコマンドを実行して追加のファイルをダウンロードする。
APT28は、2024年5月にもヨーロッパ全域のネットワークを標的にHeadLaceマルウェアと認証情報収集用のウェブページを使用したキャンペーンを展開していた。
from:APT28 Targets Diplomats with HeadLace Malware via Car Sale Phishing Lure
【編集部解説】
今回のAPT28(別名:BlueDelta、Fancy Bearなど)によるサイバー攻撃キャンペーンは、ロシアの軍事情報機関GRUが支援する高度な持続的脅威(APT)グループの最新の動向を示しています。この攻撃は、単なるマルウェア配布にとどまらず、国際的な外交や軍事情報を狙った精巧な諜報活動の一環と考えられます。
特筆すべきは、攻撃者が正規のウェブサービスを悪用している点です。webhook[.]siteやmocky[.]ioなどの合法的なサービスを利用することで、従来のセキュリティ対策をすり抜けやすくなっています。これは、サイバーセキュリティの世界で「Living off the Land(環境利用型)」と呼ばれる戦術の高度な応用例といえるでしょう。
HeadLaceマルウェアの配布方法も巧妙です。車の販売を装ったフィッシング手法は、APT29が2023年7月から使用していた手法を模倣したものです。これは、ロシアの国家支援ハッカーグループ間で戦術の共有や学習が行われている可能性を示唆しています。
また、このキャンペーンでは地理的制限(ジオフェンシング)技術を使用しており、特定の地域や組織を狙い撃ちにしています。これにより、攻撃の検出を困難にし、同時に特定のターゲットに対して効率的に攻撃を仕掛けることが可能になっています。
このような高度な攻撃は、国家間のサイバー戦争の一端を垣間見せるものです。外交官や軍事関連施設を標的にすることで、国際情勢や軍事戦略に影響を与える可能性があります。特に、ウクライナ情勢が続く中、こうした情報収集活動は現実世界の紛争にも直接的な影響を及ぼす可能性があります。