BadPilotネットワーク・ハッキング・キャンペーンがロシアのサンドワーム攻撃を煽る

Seashell Blizzard」や「Sandworm」としても知られるロシアの国家支援ハッキンググループAPT44のサブグループが、「BadPilot」と名付けられた複数年にわたるキャンペーンで、重要な組織や政府を標的にしている。

この脅威主体は少なくとも2021年から活動しており、エネルギー、石油・ガス、電気通信、海運、武器製造分野の組織のネットワーク侵害にも関与している。

マイクロソフトのスレットインテリジェンスチームによると、この脅威者は標的システムへの初期アクセスを達成し、持続性を確立し、侵害後の専門知識を持つ他のAPT44サブグループが引き継ぐことができるように存在を維持することに専念しているとのことです。

「我々はまた、Seashell Blizzardにリンクした破壊的な攻撃の前に、組織へのアクセスを追求する初期アクセスサブグループを観察した」と、マイクロソフトが.NETと共有したレポートを読んでいる。

マイクロソフトの評価では、”Seashell Blizzardはこの初期アクセス・サブグループを使って、新しいエクスプロイトを獲得するにつれて活動を水平方向に拡大し、ロシアが関心を持つ現在および将来のセクターへの持続的なアクセスを維持している “という。

Table of contents

標的の範囲

マイクロソフトの初期の観察によると、このサブグループの活動は、ウクライナ、ヨーロッパ、中央アジア、南アジア、中東をターゲットとし、重要なセクターを中心とした日和見的なものであった。

ロシアのウクライナ侵攻後の2022年から、サブグループは政府、軍事、輸送、物流部門など、ウクライナを支える重要インフラに対する活動を強化した。

彼らの侵入は、情報収集、業務妨害、標的システムのデータ破壊を狙ったワイパー攻撃を目的としていた。

マイクロソフトは、このサブグループの具体的な活動について、「2023年以降、このサブグループがウクライナで少なくとも3件の破壊的サイバー攻撃を可能にした可能性が高いと評価しています」と述べている。

2023年までにサブグループの標的範囲は広がり、ヨーロッパ、米国、中東全域で大規模な侵害を行い、2024年には米国、英国、カナダ、オーストラリアに焦点を当て始めた。

APT44のサブグループは、インターネットに面したインフラにおけるn-day脆弱性の悪用、クレデンシャルの窃取、サプライチェーン攻撃など、ネットワークを侵害するために複数の手法を採用しています。

サプライチェーン攻撃は、ヨーロッパとウクライナの組織に対して特に効果的で、ハッカーは地域で管理されているITサービス・プロバイダーを標的とし、複数のクライアントにアクセスしました。

マイクロソフトは、以下の脆弱性について、ネットワークスキャンとそれに続く悪用の試みを観測している：

上記の脆弱性を悪用してアクセスを取得した後、ハッカーは「LocalOlive」のようなカスタムWebシェルを展開することで永続性を確立しました。

2024年、APT44のサブグループは、Atera AgentやSplashtop Remote Servicesなどの正規のITリモート管理ツールを使用し、IT管理者を装って侵害されたシステム上でコマンドを実行し、検知を回避するようになりました。

初期アクセス後の活動については、脅威行為者はProcdumpやWindowsレジストリを使用して認証情報を盗み出し、Rclone、Chisel、Plinkを使用して秘密のネットワークトンネルを経由してデータを流出させます。

研究者は2024年に、脅威行為者がTorネットワークを介してトラフィックをルーティングすることで、「影響を受けた資産へのすべてのインバウンド接続を効果的に隠蔽し、行為者と被害者環境の両方からの暴露を制限する」という新しい手法を観察しました。

最後に、このサブグループは、ネットワークのあらゆる部分に到達するために横方向の移動を実行し、操作に必要なインフラストラクチャを変更します。

この変更には、DNS設定の操作、新しいサービスやスケジュールされたタスクの作成、固有の公開鍵を使ったOpenSSHを使ったバックドアアクセスの設定などが含まれる。

マイクロソフト社によると、ロシアのハッカー・サブグループは「ほぼグローバルなリーチ」を持ち、Seashell Blizzardが地理的なターゲットを拡大するのに役立っているという。

本日発表されたレポートの中で、研究者は、この脅威行為者の活動を捕捉し、それを阻止するための防御者のための狩猟クエリ、侵害の指標（IoC）、およびYARAルールを共有しています。