ロシアの国家支援 APT29 ハッキング・グループ:DropBox/Google を介してマルウェアを配布

Russian Hackers Using DropBox and Google Drive to Drop Malicious Payloads

2022/07/19 TheHackerNews — APT29 として知られるロシアの国家支援されたハッキング・グループが、Google Drive や Dropbox などの正規のクラウド・サービスを利用して、侵害したシステム上に悪意のペイロードを配信するという、新しいフィッシング・キャンペーンを立ち上げていることが判明した。

Palo Alto Networks Unit 42 は、「一連のキャンペーンは、2022年5月〜6月に、複数の欧米外交団を標的としたと考えられている。これらのキャンペーンに含まれるルアーを分析すると、ブラジルとポルトガルの外国大使館をターゲットにされていることが示唆される」と、火曜日の報告書で述べている。

APT29 は、Cozy Bear/Cloaked Ursa/The Dukes などの別名でも追跡されており、ロシアの戦略目標に沿った情報収集を行う、組織的なサイバースパイ・グループとして特定されている。


2020年に発生した SolarWinds サプライチェーン攻撃などの APT の一部は、Microsoft により Nobelium という名前で追跡されている。また、 Mandiant は、「進化し、統制が取れ、高度なスキルを持つ脅威アクターたちが、高度な運用セキュリティ・レベルで活動している」と述べている。

最近の侵入は 2022年5月に発生しているが、 以前に Mandiant と Cluster25 が詳述した秘密作戦の継続であり、そのためのスピアフィッシング・メールでは、EnvyScout (別名 ROOTSAW) と名付けられた HTML ドロッパー添付ファイルを添付し、Cobalt Strike Beacons を展開させている。

新しいバージョンでは、Dropbox や Google Drive などのクラウド・サービスを利用し、その行為を隠蔽し、標的の環境に追加のマルウェアを送り込むという方向に変更されている。2022年5月下旬に観測された攻撃の第2バージョンは、Dropbox に HTML ドロッパーをホストさせるように変化していると言われている。

以前に Cluster25 は、「長期にわたって分析されたキャンペーンとペイロードは、レーダーの下で活動し、検出率を下げることに、強くフォーカスしていることが示唆される。この点において、Trello や Dropbox のような正当なサービスが悪用された場合でも、被害者の環境内で検知されないまま、攻撃者による長期間にわたる活動が示唆される」と述べている。

このケースにおいて EnvyScout は、ターゲットの感染を悪化させるための補助ツールとして機能する。具体的には、.NET ベースの実行ファイルを複数の難読化レイヤーに隠し、システム情報を流出させ、Google Drive から取得したCobalt Strike などの、次段階のバイナリの実行に用いるインプラントを配備していく。

研究者たちは、「DropBox と Google Drive の悪用は、この攻撃者にとって新しい戦術であり、これらのクラウド・サービスのユビキタス性と大勢の顧客からの信頼という現実のために、検出が困難になることを証明している」と述べている。

この調査結果は、欧州連合理事会の、「ロシアの脅威アクターたちによる悪質なサイバー活動が急増している。サイバースペースにおける、この容認できない行動を非難する。この悪意のあるサイバー活動の増加は、ウクライナに対する戦争の文脈において、波及効果/誤った解釈/エスカレーションの可能性という。受け入れがたいリスクを生み出している」という、新しい宣言とも一致している。

ATP29 は、ロシアの国家支援ハッキング・グループの中でも、エース・クラスの APTですね。このブログの中を検索してみましたが、2021年10月8日の「Microsoft レポート:米政府を狙うハッカーの 53% はロシア由来」から始まり、12月6日の「Nobelium の最新マルウェア Ceeloader は高スティルス性で CSP と MSP を狙う」、2022年5月3日の「UNC3524 という新しい APT:バックドアを仕掛けてメールを盗み出す」、6月6日の「Brute Ratel C4 という強力なレッドチーム・ツール:Cobalt Strike のように悪意のペイロード化するのか?」という具合に、重要な局面には必ず顔を出しています。よろしければ、APT29 で検索も、ご利用ください。たくさん出てきます。