Russian Turla Hackers Hijack Decade-Old Malware Infrastructure to Deploy New Backdoors
2023/01/08 TheHackerNews — ロシアのサイバー・スパイグループ Turla が、10年前のマルウェアの攻撃インフラを利用して、ウクライナのターゲットに、独自の偵察ツールやバックドア・ツールを配布していることが確認された。Google 傘下の Mandiant は、この活動を UNC4210 という未分類のクラスタ名で追跡しており、乗っ取られたサーバを調査したところ、2013年に VirusTotal にアップロードされた ANDROMEDA (別名 Gamarue) というマルウェアの亜種に該当したと述べている。
先週のレポートで Mandiant の研究者たちは、「UNC4210 は、少なくとも3種類の期限切れの ANDROMEDA Command-and-Control (C2) ドメインを再登録し、2022年9月には KOPILUWAK/QUIETCANARY を展開するために、標的とする被害者のプロファイリングを開始した」と述べている。
Turla は、Iron Hunter/Krypton/Uroburos/Venomous Bear/Waterbug などの名前でも認知されており、主に政府/外交/軍事組織などを対象に、大量のカスタム・マルウェアを使用する、国家に支援されたエリート組織である。
ロシアによる軍事侵攻が 2022年2月に開始されて以来、Turla はウクライナ国内所在する組織を狙い、一連のクレデンシャル・フィッシングや偵察活動などを行ってきた。
2022年7月に、Google Threat Analysis Group (TAG) は、Turla がフェイクの Android DDoS アプリを作成して親ウクライナのハクティビストを騙し、ロシアのサイトに対する攻撃を “支援” したことを明らかにした。
今回の Mandiant の発見は、感染 USB メモリを介した ANDROMEDA の拡散を利用するなどの、マルウェア配布メカニズムとしては古い手口が、Turla にも密かに共用されていることを示すものだ。Mandiant は、「組織へのイニシャル・アクセスの手段として、USB メモリ経由のマルウェア拡散は、今もなお有効な手法である」と述べている。
Mandiant が分析したインシデントは、2021年12月にウクライナの無名の組織で発生したものだ。そのときには、感染 USB メモリがデバイスに挿入され、USB ドライブ内のフォルダを装う悪意のリンク (.LNK) ファイルが起動され、ホスト上にレガシー ANDROMEDA アーティファクトが展開されたと言われている。
その後に脅威アクターは、ANDROMEDA の廃止された C2 インフラの一部である休眠ドメインの1つを再利用し (2022年1月に再登録) 、JavaScript ベースのネットワーク偵察ユーティリティである、第1段階の KOPILUWAK ドロッパーを配信して被害者をプロファイリングした。
その2日後の 2022年9月8日には、QUIETCANARY (別名 Tunnus) と呼ばれる .NET ベースのインプラントを実行した。これで、攻撃は最終段階に進み、2021年1月1日以降に作成されたファイルが流出するという結果になった。
Turla が採用した技術は、ロシア/ウクライナ戦争と同時期に同グループが行った、大規模な被害者プロファイリング活動のレポートと一致しており、ロシアに有益な情報を採取するための活動に有効となる可能性がある。
また、この驚異グループが、自らの戦略的目標を達成するために、別のマルウェア・キャンペーンの被害者を標的にしたことも確認された。つまり、自身の役割を隠してくれる、別のハッキング・ユニットが特定された、珍しい例でもある。
研究者たちは、「感染した USB デバイスから、古い ANDROMEDA マルウェアが拡散し続ける一方で、脅威アクターが再登録されたドメインをコントロールし、被害者に新たなマルウェアを配信するというリスクが生じている。つまり、金銭的な動機で広く配布されるマルウェアが使用してきた、期限切れのドメインを要求するという新しい手法により、さまざまな企業に対して、後続の侵害を引き起こすことが可能になる。さらに、古いマルウェア/インフラは、多種多様なアラートのトリアージにおいて見落とされる可能性が高くなる」と述べている。
米国の原子力研究所を狙う COLDRIVER
ロイター通信は、ロシア政府が支援する別の脅威グループ (コードネーム:COLDRIVER/Callisto/SEABORGIUM) が、2022年初頭に米国内の3つの核研究所を標的としたと報じている。
このデジタル攻撃では、Brookhaven/Argonne/Lawrence Livermore 国立研究所などの偽のログイン・ページを作成され、原子力科学者たちを騙してパスワードを開示させようとしていた。
この手口では、英国や米国の NGO/シンクタンク/高等教育機関などに加えて、防衛機関/情報コンサルティング会社などのログイン・ページが偽装されていることも、最近になって判明した。それは、COLDRIVER の既知の活動とも一致するものだ。
このブログに Turla が登場したのは、2021年12月の「ロシアのスパイグループが Log4Shell の悪用を開始:APT28/Turla/Ursnif などによる探索を検知」と、2022年6月の「ウクライナを標的とするロシアからのサーバ攻撃:侵攻が始まってから 800 件に到達」になります。それにしても、検知を難しくするために、期限切れのドメインを利用し、他のマルウェアに隠れて活動するなど、あまり聞かれない手法を用いています。
IoT OT Security News 
You must be logged in to post a comment.