Last Updated on 2024-12-05 12:08 by admin
米サイバーセキュリティ企業Recorded Futureは、ロシア関連のハッカーグループによる新たなサイバースパイ活動を報告しました。TAG-110(別名:UAC-0063/APT28)と呼ばれるこのグループは、HATVIBEとCHERRYSPYという2種のマルウェアを使用し、主に研究・教育機関を標的としています。
- 発表日時:2024年11月23日
- 報告機関:米サイバーセキュリティ企業Recorded Futureのインシクトグループ
【事案の概要】
ロシア関連のハッカーグループ(TAG-110/UAC-0063/APT28として知られる)が、新たなマルウェアを使用したサイバースパイ活動を展開している。
【使用されたマルウェア】
- HATVIBE:ローダー型マルウェア
- CHERRYSPY:Pythonで作成されたバックドア型マルウェア
【被害状況】
- 被害組織数:62組織
- 影響を受けた国:11カ国
- 主な被害国:
- 中央アジア:タジキスタン、キルギスタン、カザフスタン、トルクメニスタン、ウズベキスタン
- その他:アルメニア、中国、ハンガリー、インド、ギリシャ、ウクライナ
【攻撃の経緯】
- 初確認:2023年5月下旬(ウクライナの国家機関への攻撃)
- 次の大規模攻撃:2024年前半(ウクライナの科学研究機関への侵入)
【攻撃手法】
- 公開Webアプリケーション(Rejetto HTTP File Server等)の脆弱性を悪用
- フィッシングメールによる初期アクセスの確立
- HATVIBEを使用してCHERRYSPYを展開
- データの収集と流出を実行
from:Russian Hackers Deploy HATVIBE and CHERRYSPY Malware Across Europe and Asia
【編集部解説】
今回のサイバー攻撃事案は、ロシアの地政学的な影響力拡大戦略の一環として注目すべき特徴を持っています。
特に注目すべきは、攻撃グループTAG-110が使用している2つのマルウェアの高度な連携方式です。HATVIBEとCHERRYSPYは、それぞれ異なる役割を持ち、まるで分業システムのように動作します。HATVIBEがシステムへの初期侵入と足場固めを担当し、CHERRYSPYが本格的なスパイ活動を実行するという巧妙な二段階方式を採用しています。
この攻撃手法の特徴的な点は、Python言語を使用したバックドアの実装です。Pythonは機械学習や科学計算でよく使用される言語であり、研究機関を標的とした場合、正常なPythonプロセスと見分けがつきにくいという利点があります。
また、攻撃対象の地理的分布から、ロシアの影響圏確保という地政学的な意図が読み取れます。特に中央アジアの旧ソビエト諸国が主要なターゲットとなっているのは、これらの地域での科学技術情報や政策動向の把握を重視している証左といえるでしょう。
セキュリティの観点から見ると、この攻撃は従来型のフィッシングメールだけでなく、Webアプリケーションの脆弱性も併用する複合的なアプローチを取っています。これは、単一の防御対策では十分な保護が難しいことを示唆しています。
特に懸念されるのは、教育・研究機関を標的としている点です。学術研究のオープン性と情報セキュリティの確保という、相反する要求のバランスをどう取るかが今後の課題となるでしょう。
このような高度な持続的標的型攻撃(APT)は、今後も進化を続けると予想されます。組織はセキュリティ対策の多層化と、特に研究データの保護に関する新たな指針の策定を検討する必要があるでしょう。