Microsoft Outlook Flaw Exploited by Russia’s APT28 to Hack Czech, German Entities
2024/05/04 TheHackerNews — 5月3日 (金) にチェコとドイツの両国は、ロシアに支援される 脅威アクター APT28 により実施された、長期的なサイバースパイ・キャンペーンの標的であったことを明らかにし、EU/NATO/英国/米国から非難を浴びた。チェコ共和国の外務省 (MFA) は声明の中で、2023年初頭に明るみに出た Microsoft Outlook の脆弱性を悪用する攻撃により、同国内の無名の団体が被害を受けたと述べている。MFA は、「政治団体/国家機関/重要インフラを標的とするサイバー攻撃は、国家安全保障に対する脅威であるだけではなく、我々の自由な社会が基盤としている民主主義のプロセスを混乱させるものだ」と述べている。
Microsoft Outlook に存在する深刻な権限昇格バグである、脆弱性 CVE-2023-23397 に対しては、すでにパッチが適用されている。 しかし、パッチが当てられていない環境で、Net-NTLMv2のハッシュにアクセスする攻撃者により、リレー攻撃を介した自分自身の認証のために、悪用されていたようだ。
ドイツ連邦政府 (通称:Bundesregierung) は、「社会民主党の執行委員会を狙ったサイバー攻撃が、長期間にわたり Outlook 上の1つの脆弱性を悪用し、多数の電子メール・アカウントを侵害したことで、この脅威が発生している」と述べている。
ドイツ/ウクライナを含むヨーロッパ全体に所在する、物流/軍需/航空/宇宙/ITなどの業種と、財団や協会などが、このキャンペーンでは標的とされた。ドイツ連邦議会 (Bundesregierung) は、2015年に発生したドイツ連邦議会 (Bundestag) に対する攻撃にも、このグループが関与したと見ている。
ロシア連邦の軍事情報機関 GRU の、Military Unit 26165 と関連するとされる APT28 は、より広範なサイバーセキュリティ・コミュニティに追跡されており、BlueDelta/Fancy Bear/Forest Blizzard (旧 Strontium)/FROZENLAKE/Iron Twilight/Pawn Storm/Sednit/Sofacy/TA422 といった多様な名称で呼ばれている。
2024年4月末に Microsoft が発表したのは、Windows の Print Spooler コンポーネントに存在する脆弱性 CVE-2022-38028 (CVSS:7.8) を、このグループがゼロデイとして悪用したという情報である。その結果として、ウクライナ/西ヨーロッパ/北米の、政府/非政府/教育/運輸などの組織への侵入が発生し、GooseEggと呼ばれる未知のカスタム・マルウェアが配信されたとしている。
NATO は、「ロシアによるハイブリッドな攻撃は、連合国の安全保障に対する脅威である」と述べている。また、EU 理事会も、「悪質なサイバー・キャンペーンは、サイバー空間におけるロシアの無責任な行動の、継続的なパターンを示している」と指摘している。
英国政府は、「ロシア GRU と紐づけられるサイバー・グループ APT28 の最近の活動は、ドイツ社会民主党幹部を標的としたものを含め、世界中の民主的プロセスを弱体化させるための、ロシア情報機関による最新の行動パターンである」と述べている。
米国務省は、「APT28 の攻撃パターンは、悪意を持って不安定化を促進する、破壊的な行動で知られている。それに対抗するために、同盟国やパートナーの安全保障を維持し、サイバー空間のルールに基づく国際秩序を維持するよう尽力している」と説明している。
2024年2月の初めに、米国とドイツに存在するSOHO ルーターで構成されるボットネットが、法執行機関の連携行動により破壊された。このボットネットは、APT28 の活動家により使用されたものであり、関心のあるターゲットに対する 脆弱性 CVE-2023-23397 の悪用といった、彼らの悪質な活動を隠すために用いられたと考えられている。
今週に公開された Trend Micro のレポートによると、サードパーティが提供する犯罪プロキシ・ボットネットの歴史は 2016年までさかのぼり、それらを構成するものとしては、Ubiquiti/Linux-based ルーターや、Raspberry Pi と VPS (virtual private servers) などが挙げられるという。
Trend Micro のレポートには、「それらのボットネットを背後で操る脅威アクターは、2024年1月26日にダウンした C2 サーバから、2024年2月上旬に新たに設定された C2 インフラへ向けて、EdgeRouter ボットの一部を移動させることに成功した。それにより、法的制約と技術的な課題が新たに発生し、悪用されていた全てのルーターに対する、徹底的なクリーンアップが妨げられている」と記されている。
Google Cloud の子会社である Mandiant が、先週に発表したレポートには、評価では、APT44(別名 Sandworm)、COLDRIVER、KillNet、APT29、APT28といった複数のグループによる、データ窃盗、破壊的攻撃、DDoSキャンペーン、影響力作戦といったロシア国家が支援するサイバー脅威活動も、米国、英国、E.U.といった地域の選挙に深刻なリスクをもたらすと予想されている。
Mandiant の研究者である Kelli Vanderlee と Jamie Collier は、「2016年に GRU と連携した APT28 は、米民主党組織の複数のターゲットや、民主党大統領候補の選挙運動委員長の個人アカウントを侵害し、2016年の米大統領選に向けたリーク・キャンペーンを組織化した」と述べている。
さらに、Cloudflare と NETSCOUT のデータによると、スウェーデンが NATO に加盟した後に、同国を標的とする DDoS 攻撃が急増しているという。この動向は、2023年のフィンランドの NATO加盟の際に、観測されたパターンを反映している。
NETSCOUT は、「これらの攻撃の犯人と思われるのは、ハッカー・グループNoName057/Anonymous Sudan/Russian Cyber Army Team/KillNet である。これらの全てのグループは、政治的な動機に基づくものであり、ロシアの理想を支持している」と述べている。
米国/英国/カナダの政府機関が共同で発表したファクトシートは、2022年以降において、ICS (Industrial Control Systems) や、小規模な OT (Operational Technology) システムに対して、親ロシア派と見られるハッカー集団が継続的に仕掛けている攻撃から、重要インフラ組織を守るためのものである。
複数の政府組織が、「親ロシア派ハクティビストの活動は、ほとんどが ICS デバイスを操作して、迷惑な効果を生み出すという、洗練されていない技術に限定されているようだ。しかし、最近の調査により、これらの脅威アクターたちは、誤って設定された不安定なコンフィグレーションを持つ OT 環境に対して、物理的な脅威をもたらす技術を持つことが確認されている」と指摘している。
これらの攻撃の標的は、上下水道システム/ダム管理/エネルギー/食品/農業などの、北米/ヨーロッパの重要インフラ部門の組織で構成されている。
それらのハクティビスト・グループは、一般に公開されたインターネット接続や、この種の環境で普及している HMI (Human Machine Interfaces) の、工場出荷時のデフォルト・パスワードを悪用してリモート・アクセスを獲得する。その後に、ミッション・クリティカルなパラメータを改ざんし、アラーム機構を OFF にし、管理パスワードを変更してオペレータをロックアウトすることが確認されているという。
脅威を軽減するための推奨事項として挙げられるのは、HMI の強化/OT システムのインターネット露出の制限/強固で一意のパスワードの使用/OT ネットワークに対するアクセスでの多要素認証の実装などである。
このアラートには、「一連のハクティビストたちは、VNC リモート・アクセスやデフォルト・パスワードを悪用することで、HMI などのソフトウェア・コンポーネントを介して、インターネットに露出したモジュール式の ICS を侵害しようとしている」と記されている。
Outlook の脆弱性 CVE-2023-23397 ですが、2023/12/07 の「Outlook の脆弱性 CVE-2023-23397:ロシアの APT28 が NATO 攻撃に悪用」でも、警鐘が鳴らされていました。なお、この脆弱性 CVE-2023-23397 に関する記事は、今回のもので6本目となります。よろしければ、Outlook で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.