APT29’s Espionage Campaign Exploits WinRAR Flaw, Targets Embassies
2024/02/21 SecurityOnline — 悪名高いロシア系サイバースパイ・グループ APT29 が、2023年9月に複数の国々の大使館に対して、巧妙な攻撃を行っていた。この攻撃は、WinRAR の重大な脆弱性 CVE-2023-38831 を悪用して、標的のシステムに足がかりを作るところから始まったと、SecurityCafe が解説している。それにより浮き彫りにされるのは、国家に支援される巧妙かつ継続的な脅威と、絶え間ない警戒の必要性である。
攻撃の手順
- 攻撃のルアー:APT29 から配信された 200通以上のメールは、BMW 車両の社内販売を装うものであり、侵入のためのトロイの木馬となる RAR ファイルが埋め込まれていた。
- 罠:送信されたメールには、兵器化された RAR アーカイブが仕込まれている。受信者が、メールに添付された BW 車両の詳細 PDF を開くと、隠された PowerShell スクリプトが密かにダウンロードされ、バックグラウンドで実行された。
- 侵入:APT29 は、このイニシャル・アクセス・ポイントを通じて、新たな悪意のツールを配信したと思われる。それにより、貴重なデータが流出し、侵害したネットワークの深部が制御されていった可能性が高い。
地政学的文脈におけるスパイ行為
この攻撃の標的となったのは、アゼルバイジャン/ルーマニア/ギリシャ/イタリアなどの大使館であり、無作為に選ばれたものではなかった。この攻撃の目的は、ナゴルノ・カラバフ紛争におけるアゼルバイジャンの活動に関する情報収集だと見られており、アゼルバイジャンと重要な外交関係を結ぶ、他の国々も標的となっている。
WinRAR の脆弱性
CVE-2023-38831 は、WinRAR 6.23 未満におけるリモート・コード実行 (RCE) の脆弱性だ。この脆弱性の悪用に成功した攻撃者は、特別に細工された RAR ファイルを被害者に開かせるだけで、被害者のマシン上で悪意のコードの実行が可能になる。この脆弱性は、2023年8月にパッチが適用されているが、その数カ月前に悪用された形跡があり、APT28 のようなグループによる悪用も確認されている。つまり、国家を後ろ盾とするハッカーにとって、ゼロデイ脆弱性が利用価値が高いものであることが浮き彫りにされている。
世界のサイバー戦争の傾向
今回のインシデントが痛感させるのは、紛争時や緊急時にサイバー攻撃が盛んになることだ。このような紛争は、通常の戦争に比べてコストが低く、誤った方向に誘導できる可能性がある。そのため、そういった紛争は、徐々にサイバー空間にも波及し始めている。
CVE-2023-38831 の悪用
この脆弱性の悪用について、詳述されたエクスプロイト・ガイドが公開されている。ここでは、より深く理解するために、簡略化してみよう:
- セットアップ:一見すると何の変哲もない PDF ファイルだが、同じ名前 (+末尾のスペース) を共有する、隠しフォルダがバンドルされている。そのフォルダの中には、悪意の .cmd ファイルが潜んでいる。
- 罠:被害者が WinRAR で PDF を開くと、WinRAR のファイル抽出方法の欠陥により、隠された .cmd スクリプトが最初に実行される。
- ペイロード:この .cmd ファイルは、単純な電卓の起動 (概念実証) から本格的なマルウェアのダウンロードまで、何でも実行できる。
全体像
APT29 の攻撃が示唆するのは、国家を後ろ盾とする持続的な脅威という現実である。防御を維持するためには、技術的な対策だけではなく、こうした脅威を引き起こす地政学的な動機を認識する必要がある。
このブログの中を探してみたら、WinRAR の脆弱性 CVE-2023-38831 の悪用について、何本かの記事をポストしていました。2023年の夏ことにはトレーダー狙いで悪用されていたようですが、秋になって APT29 が登場している感じです。よろしければ、APT29 で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.