ロシアハッカーSandwormのサブグループが欧米の複数組織を侵害、マイクロソフトが発表

nosa

2025.02.13

ロシア系ハッカー集団のサブグループが欧米の複数組織を侵害、マイクロソフトが発表

The Record – February 13, 2025

マイクロソフトの脅威インテリジェンスチームは12日、悪名高いロシアの国家支援型ハッカーグループの関与が疑われる「BadPilotキャンペーン」について調査結果を発表した。

同チームのレポートによると、BadPilotキャンペーンの目的は欧米の石油・ガス、エネルギー、通信、海運、武器製造、政府といった部門の複数組織を侵害すること。キャンペーン自体は数年前から展開されており、SandwormまたはSeashell Blizzardの名で知られるハッカーグループのサブグループが初期アクセス獲得の任務に当たっているという。

その際にはサードパーティのインターネットスキャンサービスを使ってターゲットを探し、少なくとも以下8件の脆弱性を悪用していると説明されている。

Microsoft Exchange（CVE-2021-34473）
Zimbra Collaboration（CVE-2022-41352）
OpenFire（CVE-2023-32315）
JetBrains TeamCity（CVE-2023-42793）
Microsoft Outlook（CVE-2023-23397）
Connectwise ScreenConnect（CVE-2024-1709）
Fortinet FortiClient EMS（CVE-2023-48788）
JBOSS（CVE は不明）

侵入後はAtera AgentやSplashtop Remote Servicesといったリモート管理ツールを展開し、侵害されたシステムへのアクセスを維持しているようだ。

Sandwormはロシア軍事情報ユニット74455と関連付けられるグループで、遅くとも2013年には活動を開始。これまでKillDisk、FoxBlade、NotPetya、Prestigeといったマルウェアを使った破壊的なハッキング活動に関与したことがわかっているほか、重要インフラを標的とする高度なスキルも持っているため、ロシアのサイバー攻撃やウクライナ侵攻において中心的な役割を果たしてきたとされている。

しかし今回のレポートにより、BadPilotキャンペーンの活動範囲は東ヨーロッパを超えて米国や英国にまで拡大していることが判明した。狭い範囲に焦点を絞るのがロシアの典型的なサイバー作戦だったため、マイクロソフトの脅威インテリジェンスチームも「この活動は時に無差別であり、ウクライナ国境をはるかに超えた多数の国や地域の幅広い業界に影響を及ぼしている」と指摘。「国際社会全体に重大なリスクをもたらす」と警告している。