昨年ソフトウェア・プロバイダのSolarWinds社にサプライチェーン攻撃を仕掛けたロシアのハッキング・グループ(NOBELIUM)が、アメリカの政府機関、シンクタンク、コンサルタント、NGOなどを対象に大規模なスピアフィッシング活動を行っていることがわかりました。
米国、重要インフラをサイバー攻撃から守るための5つ法案を提出。その内容は
APT29またはCozy Bearと呼ばれるハッキンググループは、ホワイトハウス関係者の間でロシア対外情報庁(SVR)との関連が指摘されています。
マイクロソフト社とセキュリティ企業のVolexity社が2021年5月1日に発表したレポートによるとSVRのハッカーは、USAID(外国の組織を支援する米国政府機関)のConstant Contactマーケティングアカウントに侵入していました。
Microsoft Threat Intelligence Center(MSTIC)は、SolarWinds、SUNBURSTバックドア、TEARDROP、GoldMax、およびその他の関連コンポーネントに対する攻撃を行った脅威組織であるNOBELIUMが主導する大規模な悪意のある電子メール攻撃を観測しました。
APT29は正規の大量メール送信サービスであるConstant Contactを利用して、24カ国150以上の組織に対して悪意のあるURLリンク付きのメールを送信していました。
NOBELIUMは標的ごとに独自のインフラやツールを使用するという確立されたパターンを採用することで、より長期間にわたって検知されないようにしていました。
この攻撃の開始時期を2021年1月28日としていますが、この時はメールの追跡URL部分だけを送信し、FirebaseのURLを利用してクリックしたターゲットを記録するなど偵察行為を行っていたようです。このメール送信攻撃においては悪意のあるペイロードの配信はされなかったようです。
攻撃手法まとめ
HTML内のJavaScriptがISOファイルをディスクに書き込み、ターゲットにそのファイルを開くよう促します。その結果、ISOファイルが外付けドライブやネットワークドライブのようにマウントされ、そこからショートカットファイル(LNK)によって付属のDLLが実行され、Cobalt Strike Beaconがシステム上で実行されることになります。
大半のメールでハッカーはターゲットとなるユーザーにHTML付きのメールを送信、ターゲットがHTMLファイルを開くと、HTML内のJavaScriptがISOファイルをディスクに書き込み、ターゲットにそのファイルを開くよう促します。
ISOファイルが外付けドライブやネットワークドライブのようにマウントされ、そこからショートカットファイル(LNK)によって付属のDLLが実行。最終的にバックドアであるCobalt Strike Beaconがシステム上で実行されることになります。
そして、悪意のあるペイロードが正常に実行されると、NOBELIUMは横移動、データの流出、追加マルウェアの配信などの目的を遂行できるようになります。
今回の攻撃で注目すべき点は、ハッカーが受信ユーザーを精査し、iOSユーザーを特別なページに誘導、SafariのiOSゼロデイバグを利用して、被害者のデバイスに感染させたということです。
CVE-2021-1879としてトラックされたこのゼロデイバグは、GoogleのThreat Analysis Groupからの報告を受け、Appleが3月にパッチを適用したものです。
CVE-2021-1879 – 悪意を持って作成されたウェブコンテンツを処理すると、ユニバーサルクロスサイトスクリプティングを受ける可能性があります。Apple はこの脆弱性が積極的に悪用されている可能性があるとの報告を受けています。
マイクロソフト社によると、最近のAPT29の攻撃が観測されたのは、数ヶ月間使用していたステルス的なアプローチを放棄し、5月25日に1日あたり数千通のメールからなる大規模なスピアフィッシングキャンペーンを開始し、その活動が公になったためです
Comments