スロバキアのセキュリティ企業ESET社とIstroSec社が発表したところによると、ロシアの諜報機関の1つに関連したロシアのサイバースパイグループが数カ月にわたってスロバキア政府を標的にしていたことが判明しました。
2021年3月、当社の研究者がスロバキアを標的としたAPTキャンペーンを発見しました。このキャンペーンは少なくとも2021年2月から活動しており、2021年6月にもいくつかのC&Cサーバーが活動していたことがわかりました。脅威の主体は、主にCobalt Strikeを使用し、スロバキア国家安全保障局に代わってフィッシングメールや文書を送信していました。
当社の脅威情報とマルウェアの調査では、世界各地に複数のコマンド&コントロール・サーバーが存在することが判明し、その中にはスロバキア共和国の標的と直接関係しているものもありました。
これらの攻撃は、「Dukes」「Nobelium」「APT29」と呼ばれるグループによるもので、米国やその他の国のサイバーセキュリティ機関はソフトウェア企業「SolarWinds」への攻撃をロシア対外情報庁(SVRとも呼ばれる)と正式に関連づけたものになります。
ESETとIstroSec社によると、SVRのハッカーは最近2021年2月から7月にかけて、スロバキアの政府関係者を対象とした複数のスピアフィッシング攻撃を主導していたという。
ESETresearchは、2021年2月から複数のスロバキア政府機関を標的としたこのスピアフィッシング攻撃を調査し、2020年に大規模なSolarWindsのサプライチェーン攻撃を行ったグループであるDukes(別名Nobelium)が行ったものと考えています。
SVRのハッカーは、スロバキア国家安全保障局(NBU)を装い、スロバキアの外交官にメールを送信。その文書は通常ISOイメージファイルで感染したシステムにCobalt Strikeバックドアをダウンロードしてインストールするものでした。
IstroSec社の研究者は、2021年のセキュリティ・カンファレンス「Def Con」での講演で、これらの攻撃に使われたSVRのコマンド&コントロール・サーバーを発見した方法を説明しました。
IstroSecチームによるとSVRのC&Cサーバーの中には、チェコ政府関係者を対象としたと思われる文書も保管されていたとのことです。
ESET社もこの攻撃を確認し、ヨーロッパ13カ国以上の外交官を標的とした同グループの最近の攻撃も追跡したと述べています。
ESET社によると、すべての攻撃は同じ戦術(電子メール→ISOディスクイメージ→LNKショートカットファイル→Cobalt Strikeバックドア)を取っているように見え、この戦術は2021年初めにVolexity社とMicrosoft社が発表した2つの報告書でも解説されています。
また、これらの攻撃の中には、ロシアのスパイ集団がSafariのiOSのゼロデイを利用して、iPhoneでメールを読む外交官を感染させるものもありました。
Comments