Hacker shhing

ロシアのサイバースパイグループ「Turla」(別名「Secret Blizzard」)は、Starlink経由で接続されたウクライナの軍用機器を標的にするため、他の脅威行為者のインフラを利用している。

マイクロソフトとLumenは最近、ロシアの連邦保安庁(FSB)とつながりのあるこの国家的行為者が、パキスタンの脅威行為者Storm-0156のマルウェアとサーバーをハイジャックして利用していることを暴露した。

マイクロソフトは本日、軍事作戦に使用されるウクライナのデバイスを標的とした、2024年3月から4月にかけてのTurlaの個別の作戦に焦点を当てた別のレポートを発表しました。

最新のキャンペーンでは、TurlaはAmadeyボットネットと “Storm-1837 “として知られるロシアの別のハッキンググループのインフラを利用した。このインフラは、TavdigやKazuarV2を含むTurlaのカスタムマルウェアファミリーをウクライナのシステムに展開するために使用された。

マイクロソフトは、TurlaがAmadeyをハイジャックしたのか、ボットネットへのアクセスを購入したのかは不明だが、このキャンペーンは、他のハッカーグループの背後に隠れている特定の脅威行為者のもう1つの例となる。

「Microsoftは、Secret BlizzardがAmadeyのMaaS(Malware as a Service)を利用したか、AmadeyのC2(Command-and-Control)パネルに密かにアクセスし、標的のデバイスにPowerShellドロッパーをダウンロードしたと評価しています

「PowerShellドロッパーには、Base64エンコードされたAmadeyペイロードが含まれており、Secret Blizzard C2インフラストラクチャへのリクエストを呼び出すコードが付加されていた。

ウクライナにおけるTurla攻撃の概要

ウクライナのTurla攻撃は、悪意のある添付ファイル、Storm-1837バックドア、または感染したデバイスへのペイロード展開に使用されるAmadeyボットネットを含むフィッシングメールから始まります。

Amadeyはマルウェアのボットネットで、2018年以降、初期アクセスとペイロード配信に使用されている。一時は、暗号化装置がネットワーク上に展開される前兆として、ロックビットの関連会社によって使用されていた。

汎用性の高いマルウェアは、主にマルウェアのドロップとして機能するために使用され、Turlaの場合、侵害されたデバイス上にカスタム偵察ツールを展開したり、脅威グループのカスタムマルウェアであるTavdig(「rastls.dll」)をロードするPowerShellドロッパーをダウンロードしたりするために使用されます。

Batch file performing reconnaissance on a compromised device
侵害されたデバイス上で偵察を実行するバッチファイル
ソースはこちら:マイクロソフト

マイクロソフトは、ハッカーはドロップされたバッチファイルによって提供される偵察情報を使用して、Starlinkインターネットシステムに接続されている軍事用デバイスなどの優先度の高いターゲットを特定すると説明しています。

“マイクロソフトは、シークレットブリザードが彼らのカスタム偵察または調査ツールをダウンロードしているのを観察した。

「例えば、ウクライナの最前線の軍事機器によく見られるSTARLINK IPアドレスから発信される機器などである。

おそらく、Starlinkデバイスは、FSBでのTurlaの役割と一致する、最前線の軍事活動に関する情報を収集するために標的とされた。

マイクロソフトの報告書はまた、TurlaをStorm-1837として知られる別のロシアの脅威行為者と結びつけており、レドモンドは、過去にウクライナのドローン操縦者が使用するデバイスに焦点を当てていたと述べている。

マイクロソフトによると、TurlaはStorm-1837の「Cookbox」と名付けられたPower-Shellバックドアを利用しており、Storm-1837はWinRARの欠陥CVE-2023-38831を悪用して2024年1月にウクライナで展開した。

その後、Turlaのカスタムマルウェアファミリーがこれらのシステムに展開されたことから、Storm-1837はハイジャックされたか、Turlaと協力してペイロードを配信したことがわかります。

Amadey-based infection flow
Amadey ベースの感染フロー
Source:マイクロソフト

TavdigおよびKazuarV2マルウェア

TavdigとKazuarV2は、Turlaのマルウェアの重要な構成要素であり、最新のスパイ活動において、それぞれ異なる、しかし補完的な役割を果たしています。

Tavdigは、最初の足場を築き、監視を行い、追加のペイロードを展開するために設計された、軽量でモジュール式のバックドアです。

Tavdigは、ユーザー認証情報、ネットワーク設定、インストール済みソフトウェアなどの情報を収集し、レジストリを変更したり、永続化のためのスケジュールされたタスクを作成したりすることができます。

Tavdigが侵害されたデバイスにロードするツールの1つは、長期的な情報収集、コマンドの実行、およびデータの流出を目的として設計されたTurlaのより高度でステルス性のバックドアであるKazuarV2です。

KazuarV2は通常、検出を回避するために「explorer.exe」や「opera.exe」のような正規のシステムプロセスに注入され、コマンド・アンド・コントロール(C2)からデータやコマンドを送受信する。

マイクロソフトは、KazuarV2がモジュール型のマルウェアであるため、必要に応じてプラグインを追加して拡張することができ、特定のスパイ活動のニーズに適応できると指摘している。

防御者は、この特定のTurlaの活動およびグループの広範な活動をカバーする、マイクロソフトが提案する緩和策およびレポート内の狩猟クエリを確認することが推奨される。