ロシアによるウクライナ攻撃:国家支援 APT などのアクティビティが明るみに

More Russian Attacks Against Ukraine Come to Light

2022/01/31 SecurityWeek — ここ数カ月の間に、ロシアに関連する脅威アクターが、ウクライナに対して行ったと考えられる作戦は、WhisperGate 攻撃だけではない。月曜日に Symantec は、既知のグループと関連づけたスパイ活動の詳細を公開した。数年前から、ロシアの APT アクターがウクライナの標的に対して、様々なサイバー攻撃を仕掛けていることが確認されている。これらのグループの中には、モスクワのシークレット・サービスの一部と考えられるもの、また、直接の監督下にあると考えられるものもある。

ここ数カ月の間に、少なくとも2つのロシア国家支援グループがウクライナに対して、サイバー攻撃を仕掛けているのが確認されている。そのうちの1つが、Gamaredon (別名:Armageddon/Primitive Bear/Shuckworm) であり、もう1つがSandworm (別名:Iron Viking/Telebots/Voodoo Bear) である。

Gamaredon は 2013年から活動しており、主にウクライナのターゲットに焦点を当てている既製ツール (RMS や UltraVNC など) や、カスタマイズされたマルウェア (Pterodo/Pteranodon) を配布するためにフィッシング・メールを利用している。

2021年11月の報告書で、ウクライナの Security Service of Ukraine (SSU) は、クレデンシャル窃取や横方向への移動のために、脅威アクターがインメモリ・ツールを使い始めたことを指摘し、これまでに数年間で全体的に洗練されてきたことを指摘している。

2021年夏に Symantec は、Gamaredon がウクライナの組織を標的としていることを注視し、被害者のネットワーク上での同グループの活動を監視していた。攻撃は 7月14日に始まり、Pterodo バックドアを展開する悪意のドキュメントが、従業員のコンピュータに送られてきた。

次に、複数のスクリプトが実行され、永続化のためのスケジュール・タスクが作成され、さまざまなコマンドによりバックドアの新バージョンがインストールされた。その後、活動は停止されたが、2日後に再び戻ってきて、他のスクリプトやマルウェア亜種などを実行した。

さらに 7月28日に、攻撃者は再び戻り、VNC クライアントのドロッパーを実行する、別の Pterodo 亜種を実行した。そして 8月19日まで、脅威アクターは感染させたマシンに戻り、他のスクリプトやマルウェア亜種などを実行した。

Symantec は、「この調査の過程で、特に VNC クライアントのインストール後に、感染したマシンの様々な場所から、多数のドキュメントが開かれた。それがユーザーの正当なアクティビティなのか、それとも攻撃者が機密情報の収集/流出を試みたアクティビティなのかは不明である。アクセスされたドキュメントのタイトルは、職務内容から標的組織に関する機密情報にいたるまで多岐にわたってい」と指摘している。

これとは別に、今月の初めに、ウクライナの複数の組織を襲った WhisperGate 攻撃があるが、それらは特定の脅威アクターに起因するものではない。CrowdStrike によると、これらのインシデントは、ロシアの国家支援型 APT のアクティビティと類似しているとのことだ。

CrowdStrike は、2週間前に、この攻撃の技術的分析を発表し、NotPetya 攻撃との重なりや、ロシア連邦軍参謀本部 (GRU) との関連が疑われる Sandworm のアクティビティとの重なりは見られないと述べている。

これまで Sandworm は、ウクライナを標的としたアクティビティを隠すために、ランサムウェア攻撃の模倣や、ハクティビスト・ペルソナの採用などを行い、さまざまな政府機関や民間組織から盗んだデータを公開してきた。

この APT は、当初は標的を絞って、破壊的なマルウェア (BlackEnergy や KillDisk など) を展開していたが、その後のアクティビティは、サプライチェーン侵害などの展開や、攻撃の到達範囲を増幅させるワームのような伝搬メカニズム (NotPetya や BadRabbit) などに切り替えられてきた。

Crowdstrike の新しいレポートによると、Sandworm の NotPetya キャンペーンと比べて、WhisperGate 攻撃の範囲は限定されているが、それが意図的なものなのか、あるいは同じ脅威アクターが両方の背後にいるのかは、依然として不明である。

Crowdstrike は、「手動でマルウェアを配布する方法が採用されていることや、政府機関のネットワークをターゲットにしていること、また、IT サービス・プロバイダーに対する破壊的な攻撃という特徴は、最初の侵入経路の証拠を隠蔽しようとしている可能性が高いことから、今回のケースでは限定的な影響を、意図的に及ぼしたと考えられる」と述べている。

また、この攻撃の直後に、ウクライナ政府機関から盗まれたとされるデータ配布が試みられたことから、個人を特定できる情報 (PII) を次々と公開する IO キャンペーンを、ハッカーは実行したと考えられるが、データが盗まれたことを、ウクライナ政府は強く否定している。

Crowdstrike は、「この IO の悪用は、以前の VOODOO BEAR の TTP と同様であり、CyberBerkut/Sprut グループ・ペルソナが、同時にウクライナの組織から個人情報を公開していた。WhisperedDebate のアクティビティにおいて、一般に公開されている Web サイト改ざんを導入することで、メディアが容易に取り上げ、増幅することが可能な、新たな側面を提供している」と述べている。

ロシアとの緊張が高まる中で、ウクライナ政府機関に対する国民の信頼を低下させることが、今回のデータ流出未遂の目的であったと考えられる。今後も、ウクライナに対する攻撃的なアクティビティが継続され、ランサムウェアを装う破壊的なマルウェアが登場する可能性が高いと考えられる。

国家支援の APT と言っても、その実態は知る由もありませんが、政府機関だけではなく、多くの民間企業が指摘している状況を考えれば、それなり組織がロシアで動いているのでしょう。また、数多くのランサムウェア・ギャングが活発な状況は、こうした国家支援 APT にとって格好の隠れ蓑になるわけで、ウクライナや欧米から見れば厄介この上ない存在となります。その意気で、1月18日の「ロシア政府による REvil 破壊から読み取るべき5つのシグナルとは?」は、とても興味深い記事となっています。よろしければ、カテゴリ APT も ご利用ください。

%d bloggers like this: