ウクライナを標的とするロシアのハッキング・キャンペーン:Microsoft が詳細を公表

Microsoft Uncovers New Details of Russian Hacking Campaign Targeting Ukraine

2022/02/04 TheHackerNews — Microsoft は、ロシアを拠点とするハッキング・グループ Gamaredon が過去6ヶ月間に、ウクライナの複数の組織を対象に行ったサイバー・スパイ攻撃で採用した、TTPs (Tactics/Techniques/Procedures) の詳細を公開した。これらの攻撃は、政府機関/軍/非政府組織 (NGO)/司法機関/法執行機関/非営利団体などを対象としており、機密情報の流出やアクセス権の維持などにより、関連組織に対する横展開を目的としているとされる。

Microsoft Threat Intelligence Center (MSTIC) は、このクラスターを ACTINIUM (旧称:DEV-0157) という名称で追跡しており、国家に支援された活動を化学元素名で特定するというスタイルを継続している。2021年11月にウクライナ政府は、Gamaredon がロシア連邦保安局 (FSB) に所属すると公表し、クリミア共和国とセヴァストポリ市にあるロシアの FSB 事務所と結びつけた。

MSTIC の研究者たちは、「2021年10月以降の ACTINIUM は、ウクライナ領土の安全確保に必要な組織、および、危機に瀕したウクライナへの国際的/人道的援助に関与する組織などのアカウントを標的にし、また、危険にさらしてきた」と述べている。

Gamaredon は独自の攻撃を行っており、2022年1月に発生したランサムウェアを装う破壊的なデータ消去マルウェアにより、ウクライナにおける複数の政府機関や企業を攻撃したインシデントとは異なる。Gamaredon の攻撃は、主にスピアフィッシング・メールを最初のアクセス経路として利用しており、メッセージにマルウェアを混入したマクロ添付ファイルを埋め込み、そのドキュメントを受信者が開くと、悪意のコードを含むリモート・テンプレートが使用されるというものだ。

このオペレーターの興味深い手口は、メッセージが開かれたかどうかを監視するために、トラッキング・ピクセルのような Web Bug をフィッシング・メッセージ本文に埋め込む点である。その後に、複数の感染連鎖の段階を経て、以下のような複数のバイナリが展開される。

  • PowerPunch – PowerShell ベースのドロッパーおよびダウンローダーであり、次のステージの実行ファイルをリモートで取得する。
  • Pterodo – 常に進化し続ける機能豊富なバックドアであり、解析を困難にするための様々な機能を備えている。
  • QuietSieve – データ流出とターゲット・ホストに対する偵察を目的とする、難読化された .NET バイナリ。

    研究者たちは、「QuietSieve は、侵入したホストからのデータ流出を主目的としているが、リモート・ペイロードをオペレーターから受信して実行することも可能だ」と説明している。2021年12月には、ウクライナを支援する西側の政府機関を対象に、地元の求人ポータルサイトに掲載される当該機関の求人情報に対して、マルウェアを仕込んだ履歴書を用いて侵入を成功させている。また、2021年12月には、同国の State Migration Service (SMS) を標的としていた。

    今回の調査結果は、1月に発生した事件を Cisco Talos が分析する中で、少なくとも9ヶ月前にさかのぼり、いくつかのサーバー攻撃をウクライナのグループの仕業にしようとする、継続的な偽情報キャンペーンの詳細が公開されたことにも起因している。

1月31日の「ロシアによるウクライナ攻撃:国家支援 APT などのアクティビティが明るみに」でも、Symantec が分析する Gamaredon が紹介され、2021年7月14日から Pterodo バックドアを用いた攻撃が始まったと記されていました。ただし、PowerPunch と QuietSieve については言及されていないので、さらに調査と分析が進んだのでしょう。また、2月1日は「米国のサイバー高官 Anne Neuberger の訪欧:ウクライナ対策を NATO と協議」という記事をポストしていますが、いまのところ続報は見つかっていません。

%d bloggers like this: