Outlook の脆弱性 CVE-2023-23397:ロシアの APT28 が NATO 攻撃に悪用

Russian military hackers target NATO fast reaction corps

2023/12/07 BleepingComputer — ロシアの APT28 軍事ハッカーは、Microsoft Outlook のゼロデイ脆弱性を利用して、NATO 加盟国の Rapid Deployable Corps をなどを標的としている。ロシアの政府および軍事において、戦略的な諜報活動が重要であると考えられる 14 カ国の、少なくとも 30 の組織に対する3つのキャンペーンで、約20カ月にわたって脆弱性 CVE-2023-23397 が悪用されてきたと、Paro Alto Networks の Unit 42 の研究者たちが指摘している。

このロシアのハッカー APT28 は、Fighting Ursa/Fancy Bear/Sofacy などの名前でも追跡されており、同国の軍事情報機関である GRU (Main Intelligence Directorate) との関連性が指摘されたこともある。

APT28 は、ロシアによる侵攻が開始された 2022年3月に、Outlook のセキュリティ欠陥をゼロデイとして使い始め、ウクライナの移民局を標的にしていた。それに加えて、2022年4月中旬〜12月には、欧州の約15ヶ国における政府/軍事/電力/運輸などのネットワークに 侵入し、軍事情報を含む可能性のある電子メールを盗み出すことで、ウクライナ侵攻を支援してきた。

それから1年後の 2023年3月に、Microsoft がゼロデイ・パッチを適用し、ロシアのハッキング・グループとの関連付けを行ったが、APT28 は脆弱性 CVE-2023-23397 を悪用し続け、認証情報を盗み出すことで、侵害したネットワーク内を横方向へと移動していった。さらに、2023年5月には、すべての Outlook Windows バージョンに影響を及ぼす、脆弱性 CVE-2023-29324 が表面化し、攻撃対象が拡大していった。

APT28 malicious Outlook task request
APT28 悪意のある Outlook タスク要求 (Unit 42)
NATO緊急展開部隊の標的

今日になって Unit 42 は、攻撃を受けた欧州諸国のうち、ウクライナを除く国々は、現時点における NATO 加盟国であると発表した。また、少なくとも1つの Rapid Deployable Corps 司令部が標的とされたとしている。

APT28 の標的は、欧州の国防/外務/内務機関だけでなく、エネルギー/パイプライン・インフラ/物資輸送/人員輸送/航空輸送などに関わる、重要インフラ組織にも及んでいた。

Unit 42 は、「ゼロデイ攻撃が仕掛けられた標的には、機密情報が存在するはずである。また、その時点においては、標的に対するアクセスやインテリジェンスが、不十分であったことも示唆される。2回目と3回目のキャンペーンで、APT28 はテクニックを変えることなく、すでに解析していたと思われるエクスプロイトを使用し続けた。つまり、これらの作戦から生み出されたアクセスとインテリジェンスが、パブリックな発見の結果を上回ったことになる。これらの理由から、3回のキャンペーンで標的とされた組織は、ロシアの諜報機関にとって、きわめて重要だった可能性が高い」と述べている。

2023年10月にフランスの ANSSI が公表したのは、ロシアのハッカーが Outlook のセキュリティ欠陥を悪用して、同国内の政府機関/企業/教育機関/研究センター/シンクタンクを攻撃したことである。

また、12月に入ってからは、英国および Five Eyes 同盟国も、Callisto Group/Seaborgium/Star Blizzard として追跡されている脅威グループを、ロシアの FSB (Federal Security Service) 部門 “Centre 18” と関連づけた。

その一方で Microsoft は、この脅威アクターが電子メールの監視/採取に悪用していたアカウントを無効化することで、NATO 諸国を狙う Callisto の攻撃を阻止している。

現時点において米国政府は、Callisto のメンバーと活動に関する情報に対して、$10 million の報奨金を提供している。

Outlook の脆弱性 CVE-2023-23397 ですが、2023/12/05 の「Outlook の脆弱性 CVE-2023-23397:ロシアの APT が Exchange 侵害に悪用」でも、ロシアの APT について触れられていました。しかし、その後の 12/07 に Unit 42 がレポートを提供し、その帰属と標的が、だんだんと明らかにされています。よろしければ、CVE-2023-23397 で検索も、ご利用ください。