ウクライナ政府のネットワークが、トロイの木馬化された Windows 10 インストーラーによって侵害された

ウクライナ政府機関は、正規の Windows 10 インストーラーを装ったトロイの木馬化された ISO ファイルによってネットワークが最初に侵害された後、標的型攻撃でハッキングされました。

これらの悪意のあるインストーラーは、侵害されたコンピューターからデータを収集し、追加の悪意のあるツールを展開し、盗んだデータを攻撃者が制御するサーバーに持ち出すことができるマルウェアを配信しました。

このキャンペーンでプッシュされた ISO の 1 つは、2022 年 5 月に作成されたユーザーによって、toloka[.]to ウクライナのトレント トラッカーでホストされていました。

木曜日に攻撃を発見したサイバーセキュリティ会社の Mandiant は、「ISO は、Windows コンピュータが Microsoft に送信する典型的なセキュリティ テレメトリを無効にし、自動更新とライセンス検証をブロックするように構成されていた。

「収益化可能な情報の盗難、またはランサムウェアやクリプトマイナーの展開による、侵入の金銭的動機を示す兆候はありませんでした。」

Mandiant は、ウクライナ政府のネットワークで感染した複数のデバイスを分析しているときに、2022 年 7 月中旬に設定され、PowerShell 経由で実行されるコマンドを受信するように設計されたスケジュールされたタスクも発見しました。

最初の偵察の後、攻撃者は Stowaway、Beacon、および Sparepart のバックドアも展開し、侵害されたコンピュータへのアクセスを維持し、コマンドを実行し、ファイルを転送し、資格情報やキーストロークを含む情報を盗むことができました。

トロイの木馬化された Windows 10 ISO は、ウクライナ語とロシア語のトレント ファイル共有プラットフォームを介して配布されました。これは、サイバー スパイ グループがインフラストラクチャでペイロードをホストする同様の攻撃とは異なります。

このサプライ チェーン攻撃はウクライナ政府を襲いましたが、悪意のある Windows ISO ファイルが torrent を通じて入手可能になりました。

「脅威アクターがこれらのインストーラーを公に配布し、埋め込まれたスケジュール タスクを使用して、被害者がさらにペイロードを展開する必要があるかどうかを判断したと評価しています」と Mandiant 氏は付け加えました。

悪意のある Windows 10 インストーラーは、特にウクライナ政府を標的にしていませんでしたが、攻撃者は感染したデバイスを分析し、政府機関に属していると判断されたデバイスに対してさらに集中的な攻撃を実行しました。

「その後、UA 政府に関心のあるターゲットが厳選されました。これらのターゲットは、GRU の利益と重複しています」と、Mandiant の脅威インテリジェンス担当副社長である John Hultquist 氏はツイートしました。

ここでは、帰属については言及していません。それはいいです。ここではスパイについて話しているのですが (おそらく)、常に商品があるとは限りません。レッスンを受けられないというわけではありません。サプライ チェーンのインシデントは深刻であり、依然としてこの紛争の最大の懸念事項です。 (3/x)

— ジョン・ハルトキスト (@JohnHultquist) 2022 年 12 月 15 日

以前にロシア軍のハッカーによって攻撃されたターゲット

このサプライ チェーン攻撃の背後にある脅威グループは、UNC4166 として追跡されており、その目的は、ウクライナ政府のネットワークから機密情報を収集して盗むことである可能性があります。

当時の明確な出所はありませんが、Mandiant のセキュリティ研究者は、このキャンペーンで攻撃された組織が、以前はロシアの軍事情報機関とリンクしている APT28 国家ハッカーの標的リストに含まれていたことを発見しました。

「UNC4166の標的は、開戦時にGRU関連のクラスターがワイパーで標的にした組織と重なっています。」マンディアントは言った。

「UNC4166 がやり取りの追跡を行った組織には、侵入の発生以来、APT28 に関連付けられている破壊的なワイパー攻撃の歴史的な犠牲者であった組織が含まれていました。」

APT28 は少なくとも 2004 年からロシアの参謀本部情報総局 (GRU) に代わって活動しており、 2015 年のドイツ連邦議会のハッキングや民主党議会選挙運動委員会 (DCCC) に対する攻撃など、世界中の政府を標的としたキャンペーンに関与しています。そして2016年に民主党全国委員会（DNC）。

ロシアによるウクライナ侵攻が始まって以来、ウクライナ政府や軍事組織を標的とした複数のフィッシング キャンペーンが、 Google 、 Microsoft 、およびウクライナの CERTによって APT28 活動としてタグ付けされています。

「トロイの木馬化された ISO の使用は、スパイ活動では目新しいものであり、検出防止機能が含まれていることは、この活動の背後にいる攻撃者がセキュリティを意識し、辛抱強いことを示しています。この活動には、ISO の開発と公開を待つためにかなりの時間とリソースが必要だったからです。対象のネットワークにインストールされています」と Mandiant 氏は付け加えました。