米国司法省と連邦捜査局はロシアのハッキンググループ「APT29」が攻撃に使用した2つのドメインを押収したと発表しました。
このドメインは政府機関、シンクタンク、コンサルタント、NGOなどを対象とした大規模なスピアフィッシング攻撃用として使用されていました。
このスピアフィッシング攻撃は2021年5月下旬にマイクロソフト社とセキュリティ企業Volexity社に発見され、詳細が報告されています。
APT29はホワイトハウスが今年初めにロシア対外情報庁(SRV)と正式に関連づけ、SolarWindsのサプライチェーン攻撃の原因としたハッキンググループでEメールマーケティングプラットフォーム「Constant Contact」のアカウントに侵入したとされています。
ロシアのサイバースパイ、iOSの脆弱性を利用するフィッシング攻撃を展開か:1日数千通のスパムメール
ハッキングを受けたアカウントは外国の政府や組織を支援する米国政府機関であるUSAIDのものでした。
SVRはこのアカウントを使用して24カ国の150以上の組織に約3,000通のトラップ付きのメールを送信し、受信者がスピアフィッシングメールのURLをクリックすると被害者はtheyardservice[.]comのサブドメインからマルウェアをダウンロードするように誘導されます。
その後、Cobalt Strikeツールをダウンロードし、被害者のネットワーク上でのアクセスを維持。さらにツールやマルウェアを展開していました。
Cobalt Strikeツールはtheyardservice[.]comの他のサブドメインやドメインworldhomeoutlet[.]comを介してC2通信を行っていたことがわかっています。
司法省はFBIと協力して裁判所命令を取得し、SVRの運営者からこれら2つのドメインを押収することで新たなシステムへの感染や過去に感染したホストとのやりとりを阻止したと発表しました。
FBIのサイバー部門のブライアン・ヴォルンドラン副部長は「FBIは、連邦政府機関とアメリカ国民を標的としたこの種の悪質なサイバー活動を阻止することに引き続き尽力します。これらのハッキング活動を阻止するだけでなく、攻撃者にリスクを与えて脅威に対抗するため、あらゆるツールを使用し国内外のパートナーシップを活用していきます」と述べています。
FBIと司法省が介入してロシア国家のハッカーが使用するドメインを押収したのは今回で2回目です。
1回目は2018年5月同じロシアのハッキンググループ「APT28」(ロシア軍情報機関と関連)が作成したとされる「VPNFilter」ボットネットの制御に使用されているドメインを押収しています。
米国の政府機関以外にもマイクロソフトは裁判所の命令によりロシアの国家ハッカーが攻撃に使用したドメインを押収したことがありました。
Comments