カスペルスキーのセキュリティ研究者は、昨年のSolarWindsサプライチェーン攻撃を行ったNobeliumハッキンググループが開発した可能性が高いバックドアを新たに発見したと発表しました。
このバックドアは、「FoggyWeb」と呼ばれるもので、同グループが開発した「受動的かつ高度に標的化された」バックドアであり、侵害されたADFSサーバーから遠隔操作で機密情報を盗み出すために使用されています。
カスペルスキーが発見した「Tomiris」と呼ばれる新しいマルウェアは、最初のサンプルが2021年2月に実世界に使用されていました。
Tomirisは、2020年12月から2021年1月にかけて、CIS加盟国の複数の政府ゾーンを標的とした一連のDNSハイジャック攻撃を調査している際に発見されました。この攻撃により、攻撃者は政府のメールサーバーからのトラフィックを自分たちのコントロール下にあるマシンにリダイレクトすることができます。
被害者は、ウェブメールのログインページにリダイレクトされ、攻撃者にメールの認証情報を盗み取られ、場合によっては、これまで知られていなかったTomirisバックドアをダウンロードする悪意のあるソフトウェアアップデートのインストールをさせられます。
カスペルスキーは
これらのハイジャックは比較的短期間で、主に被害を受けた組織のメールサーバーを狙ったものと思われます。
脅迫者がどのようにしてこれを実現したのかはわかりませんが、被害者が使用していたレジストラのコントロールパネルへの認証情報を何らかの方法で入手したものと思われます
Tomirisは、いったんシステムに展開されると、コマンド&コントロールサーバーに繰り返し問い合わせて、侵害されたデバイス上で実行する悪意のあるペイロードをさらに要求し、攻撃者が被害者のネットワークに足場を築くことを可能にします。
別の亜種では、侵入したシステムから文書を収集して流出させることができます。.doc、.docx、.pdf、.rarなど、関心のある拡張子に一致する最近のファイルを自動的にアップロードします。
カスペルスキー社は、この2つのバックドアに多くの類似点を発見しました(例:どちらもGoで開発されていること、スケジュールされたタスクによる持続性、C2通信用の同じエンコーディングスキーム、ネットワークノイズを減らすための自動スリープトリガー)。
また、Tomirisと同じネットワーク上でSolarWindsの攻撃に使われたSunburstマルウェアと特徴を共有するKazuarバックドアを発見しました。
しかし、この新しいバックドアがロシアの支援を受けたNobelium国のハッカーたちによるものであるとは断定せず、マルウェア研究者を欺くための偽旗攻撃の可能性を指摘しています。
他のAPTがこのツールの存在を認識していた可能性はありますが、公開前に模倣しようとする可能性は低いと考えています
Sunshuttleの作者は、SolarWindsの操作が発見された2020年12月頃に、焼け残ったツールセットの代替としてTomirisの開発を開始したというのが、より可能性の高い(まだ未確認ですが)仮説です。
Nobeliumとは?
複数の米国連邦機関が侵害された原因であるSolarWindsサプライチェーン攻撃を実行したハッキンググループNobeliumは、APT29、The Dukes、Cozy Bearとしても追跡されているロシア対外情報庁(SVR)のハッキング部隊です。
2021年4月、米国政府はSVR部門がSolarWindsの “広範なサイバースパイ攻撃 “をコーディネートしたと正式に非難しました。
また、サイバーセキュリティ企業のVolexity社は、2018年に遡る過去のインシデントで使用した戦術に基づき、今回の攻撃を同じハッキンググループの運営者と結びつけています。
5月、マイクロソフトの研究者は、Nobeliumが他の攻撃で使用したマルウェアファミリーをさらに4つ明らかにし、”BoomBox “という名前のマルウェアダウンローダー、”VaporRage “という名前のシェルコードダウンローダーとランチャー、”EnvyScout “という名前の悪意のあるHTML添付ファイル、”NativeZone “という名前のローダーとしています。
3月には、侵入したネットワーク上で持続性を維持するために使用される3種類のNobeliumマルウェアの詳細を発表し、「GoldMax」と名付けられたコマンド&コントロールバックドア、「GoldFinder」として追跡されるHTTPトレーサーツール、「Sibot」と名付けられた持続性ツールおよびマルウェアドロッパーでした。
Comments