Last Updated on 2025-04-21 10:17 by admin
ロシアの国家支援ハッカー集団APT29(別名Cozy BearまたはMidnight Blizzard)が、ヨーロッパの外交機関を標的とした高度なフィッシングキャンペーンを展開しています。
このキャンペーンでは、WINELOADERの新バリアントと、これまで報告されていなかったマルウェアローダー「GRAPELOADER」が使用されています。
Check Point Researchによると、2025年1月から観測されているこの攻撃では、攻撃者がヨーロッパの外務省になりすまし、標的にワインテイスティングイベントへの招待メールを送信しています。メールに含まれるリンクをクリックすると、マルウェアを含むZIPアーカイブ(「wine.zip」)がダウンロードされ、GRAPELOADERが展開されます。これらのフィッシングメールはbakenhof[.]comとsilry[.]comのドメインから送信されています。
このキャンペーンは主に、外務省を特に重視した複数のヨーロッパ諸国と、ヨーロッパにある他国の大使館を標的にしています。中東を拠点とする外交官も標的にされている可能性があります。
ZIPアーカイブには3つのファイルが含まれています:正規のPowerPoint実行可能ファイル(「wine.exe」)、依存関係として機能するDLL(「AppvIsvSubsystems64.dll」)、そして悪意のあるDLL(「ppcore.dll」)です。攻撃ではDLLサイドローディング手法が使用され、マルウェアはWindowsレジストリを変更することでシステム再起動時にも実行される永続性を獲得します。
GRAPELOADERは初期段階で使用されるツールで、システム情報の収集、永続化機能の実装、そして最終的にWINELOADERバックドアの展開を担っています。GRAPELOADERは、以前使用されていたHTAダウンローダー「ROOTSAW」に代わるもので、より高度なステルス機能を備えています。
APT29はロシアの対外情報局(SVR)と関連があるとされており、過去にはSolarWindsのサプライチェーン攻撃など、高度なサイバー攻撃を実行してきた実績があります。
この発見は、Check Point Researchが2025年4月15日に公開した技術分析レポートで明らかにされました。
from:APT29 Deploys GRAPELOADER Malware Targeting European Diplomats Through Wine-Tasting Lures
【編集部解説】
ロシアの国家支援ハッカー集団APT29(別名Cozy BearやMidnight Blizzard)による最新のサイバー攻撃キャンペーンは、国際外交の舞台裏で繰り広げられる情報戦の一端を示しています。Check Point Researchの詳細な分析によると、このキャンペーンは2025年1月から開始され、ヨーロッパの外交機関を標的としています。
特に注目すべきは、攻撃者が使用するソーシャルエンジニアリング手法の巧妙さです。APT29は「ワインテイスティング」という社交的で無害に見えるイベントへの招待を装い、外交官という特定の標的に対して極めて的を絞ったフィッシング攻撃を仕掛けています。この手法は単なる技術的攻撃ではなく、人間の心理や社会的文脈を理解した上での戦略的アプローチといえるでしょう。
技術面では、GRAPELOADERという新しいマルウェアローダーの登場が重要です。このマルウェアは、DLLサイドローディングという正規のアプリケーション(この場合はPowerPoint)の脆弱性を悪用する手法を採用しています。The Registerの報道によれば、攻撃者のサーバーは自動分析ツールからの保護が施されており、特定の条件(時間や地理的位置など)を満たす場合にのみマルウェアがダウンロードされる仕組みになっています。
GRAPELOADERは以前使用されていたHTAダウンローダー「ROOTSAW」に代わるもので、より高度なステルス機能を備えています。BleepingComputerの報道によると、GRAPELOADERは「PAGE_NOACCESS」メモリ保護や、シェルコード実行前の10秒の遅延などの技術を使用して、アンチウイルスやEDR(Endpoint Detection and Response)スキャナーからの検出を回避します。
また、GRAPELOADERからWINELOADERへと続く多段階の攻撃チェーンは、攻撃者が単にシステムへのアクセスを得るだけでなく、長期的な潜伏と情報収集を目的としていることを示唆しています。この手法はAPT29の長期的な戦略の一部であり、過去にも同様の手法が使用されてきました。
外交機関を標的とした今回の攻撃は、サイバー空間が現代の地政学的緊張の新たな戦場となっていることを改めて示しています。特に、ロシアとウクライナの紛争、そして西側諸国との緊張関係という文脈の中で、このようなサイバー攻撃は物理的な紛争を補完する情報収集活動として機能していると考えられます。
TechRadarの報道によると、攻撃の標的はヨーロッパに所在する非ヨーロッパ諸国の大使館に特に焦点が当てられています。これは、ロシアが特定の外交関係や同盟関係に関する情報を収集しようとしている可能性を示唆しています。
このような高度な標的型攻撃から組織を守るためには、技術的な防御策だけでは不十分です。特に外交官や政府関係者などの高価値標的となりうる人々に対する、セキュリティ意識向上トレーニングが不可欠です。一見無害に見える招待状や添付ファイルであっても、それが巧妙に仕組まれた攻撃の入り口である可能性を常に意識する必要があります。
また、DLLサイドローディングのような高度な攻撃手法に対抗するためには、アプリケーション制御やホワイトリスティング、振る舞い検知型のセキュリティソリューションなど、多層的な防御アプローチが重要です。Check Pointの報告によれば、同社のThreat EmulationやHarmony Endpointといったソリューションは、このような攻撃から保護する機能を提供しています。
今回の事例は、サイバーセキュリティが単なるIT部門の問題ではなく、国家安全保障や外交政策と密接に関連する戦略的課題であることを示しています。企業や組織においても、自社のビジネスや保有する情報の価値を理解し、それに見合ったセキュリティ対策を講じることが重要となるでしょう。
最後に、このような国家支援型の高度な脅威に対しては、国際的な協力と情報共有が不可欠です。サイバー空間における規範の確立と、悪意ある行為に対する責任追及の仕組みづくりが、長期的な解決策として求められています。
【用語解説】
APT29(Advanced Persistent Threat 29):
ロシアの対外情報局(SVR)と関連があるとされる高度な脅威アクター。Cozy Bear、Midnight Blizzardなどの別名を持ち、2008年頃から活動している。主に西側諸国の政府機関や外交機関を標的としている。
DLLサイドローディング:
正規のプログラムが実行される際に、本来ロードされるべきDLLの代わりに悪意のあるDLLをロードさせる攻撃手法。正規のプロセスを悪用するため、セキュリティソフトウェアの検知を回避しやすい。
WINELOADER:
APT29が使用するモジュラー型バックドア。感染したシステムに潜伏し、追加のマルウェアモジュールをC2サーバーからダウンロードする機能を持つ。
GRAPELOADER:
今回新たに発見されたマルウェアローダー。初期段階で使用され、システム情報の収集、永続化機能の実装、最終的にWINELOADERの展開を担う。
C2(Command and Control)サーバー:
攻撃者がマルウェアに指示を送ったり、盗んだデータを受け取ったりするために使用するサーバー。遠隔操作の中枢となる。
永続化(Persistence):
マルウェアがシステム再起動後も自動的に実行されるよう、レジストリやスケジュールタスクなどを変更する手法。
【参考リンク】
Check Point Software Technologies(外部)
イスラエル発祥のサイバーセキュリティ企業。今回のAPT29の活動を分析したレポートを公開
Zscaler ThreatLabz(外部)
クラウドセキュリティ企業Zscalerの脅威研究チーム。WINELOADERを初めて文書化
Mandiant(外部)
Google傘下の脅威インテリジェンス企業。APT29の活動を追跡し分析している
MITRE ATT&CK(外部)
サイバー攻撃の戦術や技術を体系化したナレッジベース。APT29の活動記録あり
【編集部後記】
テクノロジーの進化とともに、サイバー攻撃の手法も日々洗練されています。今回のAPT29の事例は外交機関が標的でしたが、同様の手法は企業や組織にも応用される可能性があります。皆さんの組織では、一見無害に見えるイベント招待や添付ファイルをどのように取り扱っていますか?セキュリティ対策は技術だけでなく、私たち一人ひとりの意識が鍵となります。最新の脅威動向に関心を持ち、基本的なセキュリティプラクティスを日常に取り入れることで、デジタル社会をより安全に楽しめるのではないでしょうか。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
