Russia

ロシア国家が支援するハッキンググループAPT29は、2023年11月から2024年7月にかけての一連のサイバー攻撃で、商用スパイウェアベンダーが作成したiOSとAndroidのエクスプロイトと同じものを使用していることが確認されている。

この活動はGoogleの脅威分析グループ(TAG)によって発見され、同グループによると、n-dayの欠陥はすでにパッチが適用されているが、アップデートされていないデバイスでは依然として有効であるという。

APT29は「Midnight Blizzard」としても知られ、モンゴル政府の複数のウェブサイトを標的とし、「水飲み場」戦術を採用していた。

水飲み場とは、正規のサイトが悪意のあるコードで侵害され、デバイスのアーキテクチャや位置情報(IPベース)などの特定の条件を満たした訪問者にペイロードを配信するように設計されたサイバー攻撃のことです。

興味深いことに、APT29は、NSO GroupやIntellexaのような商用監視ソフトウェアベンダーが使用していたものとほぼ同じエクスプロイトを使用しており、修正プログラムが提供されていないゼロデイとして欠陥を作成し、活用していたとTAGは指摘しています。

攻撃のタイムライン

グーグルの脅威アナリストは、APT29はゼロデイおよびnデイ脆弱性を悪用してきた長い歴史があると指摘している。

2021年、ロシアのサイバー工作員はCVE-2021-1879をゼロデイとして悪用し、東欧の政府関係者を標的に、LinkedIn、Gmail、Facebookのアカウントを掠め取るCookie窃取フレームワークを配信しようとしました。

2023年11月、APT29はモンゴル政府のサイト「mfa.gov[.]mn」と「cabinet.gov[.]mn」を侵害し、悪意のあるiframeを追加してCVE-2023-41993のエクスプロイトを配信しました。

November 2023 attack chain
2023年11月の攻撃チェーン
ソースはこちら:グーグル

これは、APT29がiOS 16.6.1以上を実行しているiPhoneユーザーからブラウザのクッキーを盗むために活用したiOS WebKitの欠陥です。

TAGの報告によると、このエクスプロイトは2023年9月にIntellexaが使用したものとまったく同じで、当時ゼロデイ脆弱性であったCVE-2023-41993を活用していました。

Exploit similarities (left is APT29)
エクスプロイトコードの重複(左がAPT29
:グーグル

2024年2月、APT29は別のモンゴル政府のウェブサイト「mga.gov[.]mn」を侵害し、同じエクスプロイトを配信する新しいiframeを注入しました。

2024年7月、APTはGoogle Chromeに影響を与えるCVE-2024-5274と CVE-2024-4671のエクスプロイトを活用し、「mga.gov[.]mn」にアクセスしたAndroidユーザーを攻撃しました。

Chaining two Google Chrome flaws in the attack
2つのGoogle Chromeの欠陥を連鎖させる
ソースはこちら:グーグル

目的は、被害者のChromeブラウザに保存されているクッキー、パスワード、その他の機密データを盗むことでした。

CVE-2024-5274に使用されたエクスプロイトは、NSO Groupが2024年5月のゼロデイ・エクスプロイトに使用したものを若干修正したもので、CVE-2024-4671のエクスプロイトには、Intellexaの以前のエクスプロイトと多くの類似点が見られました。

Timeline of exploitation
エクスプロイトのタイムライン
:グーグル

スパイウェア・ベンダーだけが知っていたこと

APT29のハッカーたちが、これまでNSO GroupとIntellexaにしか知られていなかったエクスプロイトにどのようにしてアクセスしたのかは不明です。しかし、限られた情報で独自にエクスプロイトを作成することは考えにくい。

考えられる説明としては、APT29がスパイウェアベンダーをハッキングし、それらの企業で働く不正な内部関係者をリクルートしたり賄賂を贈ったり、直接または仲介者を介して協力関係を維持したりすることなどがある。

もう1つの可能性は、以前にゼロデイとして監視会社に販売していた脆弱性ブローカーからの購入である。

このようなエクスプロイトが、どのような方法で国家を後ろ盾とする洗練された脅威集団に到達するのかは別として、重要な問題は、そのようなエクスプロイトが存在するということである。このため、アドバイザリで「限定的な悪用の範囲にある」とラベル付けされたゼロデイ脆弱性に迅速に対処することは、メインストリームのユーザーが認識しているよりもはるかに緊急性が高い。