進化する戦術：ロシアのAPTグループは2024年のサイバー脅威をいかに形成するか

本記事ではロシアのAPTやそのターゲットに加え、スピアフィッシングキャンペーンに使われるマルウェアなど進化するTTPについて詳しく掘り下げていきます。

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事（2024年5月23日付）を翻訳したものです。

ロシアAPTグループの戦術が進化

Flashpointはロシアの高度持続的脅威（APT）グループがそれぞれのターゲットを広げつつ、戦術、技術、手順（TTP）を進化させていることを確認しています。こういったグループが実施しているのは、不法マーケットプレイス上で売られるマルウェアを配布することでデータや認証情報を抜き取る、新しいスピアフィッシングキャンペーンです。

Flashpointは以下のようなロシア系APTグループが最近のキャンペーンに関与していたことを確認し、各グループとの関連が指摘される攻撃に使われたマルウェア種や、それぞれのグループの攻撃対象を一覧表にしました。

2022年にロシア・ウクライナ戦争が勃発してから、ロシアの国家支援型アクターはスピアフィッシングの手法を使うようになり、攻撃方法に著しい変化が見られました。この紛争が始まった時点で、これらのグループが好んで使っていたのは破壊的なワイパーマルウェアです。しかし2023年の終わり近くになると、ウクライナコンピュータ緊急対応チーム（CERT-UA）はマルウェアの配布や認証情報の収集、恐喝に関するインシデントなど1,700件以上に及ぶフィッシング攻撃に対応する中で、各グループの戦術における変化を観測するようになりました。

Flashpointの調査により、こういったスピアフィッシングキャンペーンで最も広く使われているマルウェアファミリーはAgent TeslaやRemcos、Smokeloader、Snake Keylogger、Guloaderであることが判明しました。マルウェアや検知回避のためのテクニックは、この攻撃チェーンを使っているグループ全体で共有されています。

こういったAPTやTTPについて知っておくべきことは以下の通りです。

ロシアのAPTについて

Flashpointは、ロシアの以下のグループが実施しているキャンペーンについてレビューしました。各APTグループは2024年現在も活動を行っています。

• APT28：フィッシングルアーはアルゼンチン、アルメニア、アゼルバイジャン、ベラルーシ、ジョージア、カザフスタン、ポーランド、ウクライナ、および米国の政府組織に扮したもので、このグループは無料ホスティングプロバイダーを利用し、Windows OSを標的にするバックドアをホストしました。

• APT29：このグループのキャンペーンではさまざまなドロッパーが配布され、多様な感染手法が展開されてきました。過去のキャンペーンでは、BURNTBATTERやDONUTといった多くのサンプルが確認されています。2024年2月以降、ダウンローダーのラインナップにWINELOADERも加わりました。

• APT44：2023年12月〜2024年1月にかけて、APT44に関連するあるグループが、オランダを拠点とする調査報道ジャーナリストグループ「Bellingcat」など複数の調査ジャーナリストをターゲットにしました。各キャンペーンでは情報窃取型マルウェアのRhadamanthysが配布されたほか、「Smokeloader」も使われていました。どちらのマルウェアもダークウェブフォーラムで購入可能です。

• Gamaredon：CERT-EUは、ロシア・ウクライナ戦争において最も活動的なアクターにGamaredonの名を挙げました。2013年から追跡されているGamaredonは、さまざまな自作マルウェアを配布する有害な文書を使って主にウクライナを攻撃しています。

• GOSSAMER BEAR：「Callisto」としてもよく知られるこのグループは、主にクレデンシャルハーベスティングの手法を使ってウクライナやNATO加盟国を攻撃しています。最近のキャンペーンでは、Rustベースのカスタムバックドアが配布されていました。

• UAC-0050：CERT-UAが追跡しているグループで、ウクライナとポーランドの政府組織を標的にしています。このグループはAPT28やAPT29と同様、ウクライナと密接な関わりを持つ国の組織に扮したルアーコンテンツを使い、攻撃の際は一貫してRemcosやMeduza Stealerを配布しています。

• UAC-0149：2024年2月から追跡されているグループで、メッセンジャーアプリのSignalを使ったフィッシングの試みをCERT-UAに発見されました。このキャンペーンは軍関係者に有害な文書を配布するもので、この文書を実行するとGitHub上でホストされている有害なPowerShellペイロードが取り込まれます。

ロシアのAPTが用いるキルチェーン

ドロッパー

マルウェアの感染を広げる最も一般的な方法は、HTMLベースのドロッパーの配布です。ドロッパーは多くの場合、圧縮されたアーカイブファイルやディスクイメージファイルにパッケージされています。APT29のような国家支援型グループは以前から、JavaScriptベースのドロッパーROOTSAWを実行するフィッシングメールにHTML形式の添付ファイルを組み合わせて使ってきました。そのHTMLファイルが実行されると、有害なコードが実行される間、被害者にはおとりの広告が表示される仕組みです。その目的は第2段階のペイロードを送り込み、これを実行させることにあります。

HTMLファイルを添付してROOTSAWを送り付けるキャンペーンもありましたが、APT29はフィッシングメールでばら撒かれるバックドアWINELOADERマルウェアを配布する.htaファイルも使用していました。.htaファイルはブラウザのセキュリティ制約外で実行されるため、単純なペイロードは検知を回避することができます。GamaredonなどほかのAPTグループも、それぞれのキャンペーンにHTAドロッパーを使用していました。この感染チェーンは、インフォスティーラーやその他の汎用マルウェアを送り付ける、ほかのサイバー犯罪キャンペーンでも導入されています。

マルウェア

ロシアのAPTグループは、攻撃ツールとしてさまざまなバックドアやスティーラー、ローダーを開発しています。APT29は2023年のスピアフィッシングキャンペーンで少なくとも6種類の異なるローダーを配布し、最近では過去のペイロードの亜種であるWINELOADERに軸足を移しました。 WINELOADERは実行後、DLLサイドローディングによって正規の実行ファイルに注入され、ロード後にローダーがHTTP GETリクエストでC2と通信を行います。ただし、すべてのAPTグループが独自のペイロードを開発しているわけではありません。それ以外のグループは開発の手間を省き、不法なマーケットプレイスからマルウェアを調達しています。こういったツールは、その他のサイバー犯罪者たちの間でも使われています。2023年にロシアの脅威アクター間で最も利用されたマルウェアは、誰でも自由に購入できるものでした。APT44のような高度なスパイグループでさえ、2023年初頭からSandwormマルウェアを活用したキャンペーンを展開しています。

インフラの侵害

ロシアの脅威グループは、コマンド＆コントロール（C2）を実行するために侵害されたWebサイトを活用します。APT29やGamaredon、Gossamer BearはC2サーバーの特定を妨害するため、WordPressの侵害されたサイトを実装しています。
米司法省は2024年2月、APT28がスピアフィッシングおよびクレデンシャルハーベスティングキャンペーンに使用していた、侵害されたルーターのボットネットを無効化しました。

NTLMハッシュの窃取

2023年後半のクレデンシャルハーベスティングキャンペーンで、APT28はNTLMv2ハッシュリレー攻撃を実行しました。これらの攻撃ではPowerShellまたはVBSスクリプトを被害者に配信し、HTTP経由でNTLMv2認証をトリガーしてリクエストを受信するHTTPリスナーを作成します。
APT28は別のキャンペーンで攻撃的なPowerShellフレームワークを活用し、ユーザーが模擬アプリケーションプログラミングインターフェース（API）を迅速に立ち上げられる無料サービスを通じて、NTLMハッシュと抜き取られたデータを取得しました。そして2023年第3四半期には、APT29が公開APIサービスを使って被害者のIPアドレスを取得しています。

ロシアのAPTから身を守るには

ウクライナとの戦争が続く中、ロシアのAPTグループは状況を読みながらTTPとマルウェアを調整し続けています。多くのグループが配布技術を共有しているという事実は、それぞれのメンバーが協力し合っている可能性を示唆しています。また、独自のペイロードの代わりに有料ツールが使われていることから、こういった不法キャンペーンの多くが成功していることをうかがい知ることができます。私たちにとって、この状況にはどんな意味があるのでしょうか？

有料ツールや類似した配布技術が使われている実状を考慮すると、以下のような方法で組織の自衛が可能になるはずです。

• HTMLファイルと.htaファイルの異常な子プロセスを調べる。
• .isoファイルの実行を調べる。
• Webプロキシで上記ファイルのダウンロードを検出する。
• DLLのサイドローディング検出を実装する。
• 模擬APIサービスとの通信に関するネットワークログを調べる。
• Flashpointの包括的な脅威インテリジェンスを介し、不法なマーケットプレイスやフォーラムで販売されているマルウェアを積極的にブロックする。

Flashpointを活用し、常にサイバー脅威の一歩先へ

組織を脅威から守るには、強固なセキュリティ対策を施すだけでなく、異常な活動を監視し、高度な脅威インテリジェンスソリューションを活用して絶えず警戒する体制づくりが欠かせません。Flashpointを活用し、サイバー脅威の常に一歩先を進むための力を手に入れましょう。

日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス（MIS）」も提供しております。

Flashpointについて詳しくは、以下のフォームからお問い合わせください。