Kaspersky Analyzes Links Between Russian State-Sponsored APTs
2023/04/25 SecurityWeek — ロシアと連携する ATP (Advanced Persistent Threat) 脅威アクター Tomiris と Turla の両者は、最小限レベルで協調しているようだ。この情報は、ロシアのサイバー・セキュリティ企業 Kaspersky からのものだ。Snake/Venomous Bear/Krypton/Waterbug としても追跡される Turla は、2006 年から ComRAT マルウェアに関与し、ロシア政府との関係があると考えられている。その一方で Tomiris は、比較的に新しいハッキング・グループであり、2021年に詳細が発表され、現在も活動を続けている。同グループは、主に CIS (Commonwealth of Independent States) 諸国の政府や外交機関をターゲットに、情報収集のために活動している。
Tomiris は、2021年〜2023年に引き起こした 3件のキャンペーンにおいて、DNS ハイジャックを用いてマルウェアを配信し、Command and Control (C&C) のために Telegram チャンネルを採用していた。また、複数の “‘burner” インプラントを、商用/オープンソース RAT と共に使用する様子が確認されている。
Tomiris の主な特徴は、さまざまなプログラミング言語でインプラント (ダウンローダー/バックドア/情報スティーラー) を構築し、検出を回避し、被害者のシステムで正常に実行されるまで、それらを循環させることだと、Kaspersky は述べている。
Tomiris 攻撃で観測された悪意のツールは以下の通りだ:
- Tomiris downloader
- download scheduler
- .NET downloader/implant
- SBZ filestealer
- Telemiris backdoor
- Roopy stealer
- JLORAT backdoor
- JLOGRAB stealer
- RATel open source RAT
- Python Meterpreter loader
- Warzone commercial RAT
Mandiant は 2023年1月に、ウクライナの組織に対する Turla 攻撃に関するレポートを公開している。同社によると、この攻撃では、古い Andromeda マルウェアが使用され、KopiLuwak ドロッパーにより、TunnusSched/QuietCanary バックドアに被害者が感染したという。
今回 Kaspersky は、Tomiris の Telemiris バックドアを使用して、2022年9月に CIS 地域の政府をターゲットに配信された、TunnusSched サンプルを確認したと述べている。Python Meterpreter ローダー/JLORAT/Roopy マルウェア・ファミリーも、Telemiris 経由で被害者のシステムにドロップされていた。
7年以上にわたって攻撃に使用されている KopiLuwak は、その間に Turla との関係を維持してきた。Kaspersky によると、2019年から TunnusSched が、他のマルウェア・ファミリーと一緒に KopiLuwak のツール・セットに追加され、2022年も継続して使用されてきたようだ。
しかし、このツール・セットは、もはや Turla 専用ではないようだ。Kaspersky は、Mandiant が分析したウクライナの組織に対する攻撃での TunnusSched 使用は、実際には Turla の活動ではなく、Tomiris のオペレーションに含まれていると見ている。
Kaspersky は、「我々は、TunnusSched と KopiLuwak の両方が Tomiris によって活用されていることを、中~高程度で確信している。さらに、Tomiris が 2019年の時点で KopiLuwak を使用し、その当時に Turla に帰属していた可能性のある、オペレーションを実施した可能性も排除できない」と述べている。
しかし同社は、Turla と Tomiris には、ツールや専門知識の共有にもかかわらず、異なる取引技術により特徴付けられる2つの別々のグループであり、そのように扱われるべきだと指摘している。
Kaspersky は、「KopiLuwak と TunnusSched を使ったサイバー攻撃を、Turla に結びつけることの危険性をコミュニティに警告したい。我々の知る限りでは、このツール・セットは、現在では Tomiris と Turla の間で共有されており、我々の管轄外である多数の脅威アクターたちが、それにアクセスしている可能性を排除できない。我々は、この一連の活動の帰属が、近い将来にわたって不明確なままであると予測している」と結論付けている。
ロシアの APT について、Kaspersky がレポートしていますが、同社と政府との力関係が気になるところです。なお、Tomiris に関しては、2021/09/30 の「Tomiris バックドアが発見:SolarWinds 攻撃との関連性を調べてみた」を、Turla に関しては、2023/01/08 の「Turla APT の奇妙な動き:10年前のマルウェア・インフラからバックドアを展開」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.