WellMess マルウェアと関連する C2 サーバークラスタが発見された

Experts Uncover Several C&C Servers Linked to WellMess Malware

2021/07/30 TheHackerNews — サイバー・セキュリティ研究者たちが、APT29 として追跡されているロシアの脅威アクター Cozy Bear が所有する、新たな C2 (command-and-control) インフラストラクチャの正体を明らかにした。Microsoft のサイバーセキュリティ子会社である RiskIQ は、The Hacker News に寄せられたレポートの中で、ロシアの SVR (対外情報機関) が運営する、30台以上の C2 サーバーの発見を発表した。

APT29 とは、ロシアの SVR に勤務する政府工作員に与えられたコードネームであり、昨年末に明るみに出た大規模な SolaWinds サプライチェーン攻撃の首謀者とされており、この4月初旬には英米両政府により正式に、この侵入行為とロシアが結び付けられている。この活動は、各種のコードネーム である UNC2452 (FireEye) / Nobelium (Microsoft) / SolarStorm (Unit 42) / StellarParticle (Crowdstrike) / Dark Halo (Volexity) / Ritual (Secureworks) などにより、各種のサイバーセキュリティ・コミュニティから追跡されているが、その理由は、APT29 を含む既知の攻撃者プロファイルと、脅威アクター採用する TTP (tactics / techniques / procedures) が異なるからだとされる。

2018年に、日本の JPCERT/CC により存在が確認された WellMess (別名:WellMail) は、これまでにも、英国/米国/カナダで COVID-19 の研究やワクチン開発に携わる複数の組織から知的財産を窃取するという、スパイ活動を展開してきた。英国の NCSC (National Cyber Security Centre) は、2020年7月に発表した勧告の中で、「このグループは、情報を得るために各種のツールや技術を用いて、政府機関 / 外交機関 / シンクタンク/ 医療機関 / エネルギー機関などを、主な標的としている」と指摘しています。RiskIQ によると、6月11日に WellMess の新しい C2 サーバーが公開されたことを受けて、APT29 の攻撃インフラの調査を開始したところ、30台以上のアクティブな C2 サーバー・クラスターが発見されたという。

これらのサーバーの1つは、2020年10月9日の時点で活動していたと考えられるが、どのように使用され、誰がターゲットなのかは、明らかになっていない。RiskIQ が SolarWinds ハッカーに関連する C2 の足跡を特定したのは、今回が初めてではない。この4月には、攻撃に投入されたマルウェア TEARDROP と RAINDROP を介して配信された、Cobalt Strike ペイロードと通信している可能性が高いとされる、18台のサーバーが新たに発見されている。RiskIQ の Team Atlas は、これらの IP アドレスと証明書が、APT29 により使用されたと確信している。そして、「このインフラと通信するマルウェアを見つけ出せなかったが、以前に確認されたサンプルと類似している可能性が高い」と述べている。

C2 (command-and-control) サーバーとは、いわゆる踏み台コンピューターなどを操作するために、脅威アクターたちが運用するインフラのことです。それが、30台も発見されたということは、かなりの台数のコンピュータが、この下にぶら下がっていると考えてよいのでしょう。また、APT29 というのは、Advanced Persistent Threat を行う脅威アクターに付けられたコードネームで、長期間にわたりターゲットを分析/攻撃するロシアのエース・クラスのハッカーです。ちなみに、中国系のエースは APT31 のようです。もちろん、どちらも、各国の法的執行機関から追跡されていますが、文中にもあるように各ベンダーもリソースを割いているのですね。

%d bloggers like this: