出典: Iliya Mitskovets via Alamy Stock Photo
ロシアのウクライナ侵攻が続く中、同国に対するサイバー攻撃も続いています。
セキュリティ企業ESETは最近、「Operation RoundPress」と呼ばれるサイバー諜報活動についての研究を発表しました。これは、少なくとも2004年から活動しているSednitというロシア国家支援の脅威グループ(APT28やFancy Bearとしても知られる)によって実行されたものです。ESETは、「米国司法省は、2016年の米国選挙直前に発生した民主党全国委員会(DNC)ハッキングの責任者の一つとしてこのグループを名指しし、GRUとの関連を指摘しました。」と述べています。
ESETはOperation RoundPressを、複数のクロスサイトスクリプティング(XSS)脆弱性を利用して高価値のWebメールサーバーを標的にするロシアに同調したキャンペーンとして説明しています。ベンダーは中程度の確信を持ってSednitに攻撃を帰属させました。キャンペーンで悪用された脆弱性には、中程度の深刻度のRoundcube脆弱性CVE-2020-35730、新しいRoundcubeの欠陥CVE-2023-43770、中程度の深刻度のMDaemon脆弱性CVE-2024-11182、中程度の深刻度のZimbra脆弱性CVE-2024-27443、およびHordeの未知の脆弱性が含まれています。
ESETは説明しましたが、ほとんどの標的は進行中のウクライナ戦争に関連しており、ウクライナ政府に関連するか、ブルガリアやルーマニアの防衛企業であると指摘しています。研究によると、「これらの防衛企業の一部は、ウクライナに送られるソビエト時代の武器を生産しています。」
関連:サウスダコタCIOゴットゥムッカラ、CISA副局長に就任
「他の標的には、アフリカ、EU、南米の政府が含まれます」と研究は説明しています。
Operation RoundPressが際立っている理由
このキャンペーンでは、ESETは2023年に遡ってXSS攻撃を追跡し、Roundcube脆弱性CVE-2020-35730の初期の悪用から始まりました。他の前述のバグは2024年を通じて発生しました。
すべての場合において、XSSエクスプロイトはスピアフィッシング攻撃を通じてメールで送信されました。
「エクスプロイトは、ブラウザウィンドウで実行されているWebメールクライアントのWebページのコンテキストで悪意のあるJavaScriptコードを実行させます。したがって、被害者のアカウントからアクセス可能なデータのみが読み取られ、抽出される可能性があります」とESETの研究は述べています。
XSSエクスプロイトが機能するためには、標的ユーザーが脆弱なWebメールポータルでフィッシングメールを開く必要があります。「これは、メールがスパムフィルタリングを回避し、件名がターゲットを引き付けてメールメッセージを読むように説得するのに十分に魅力的である必要があることを意味します」と研究投稿は述べています。
提供された例では、フィッシングメールは無害に見え、ウクライナの新聞Kyiv Postを含むさまざまなソースからのニュースレターとして装っていました。バグを悪用する悪意のあるコードはメールのHTMLコード内にあり、ターゲットには直接見えません。
悪意のあるコードは基本的な持続性対策を実行し、Webメールの資格情報を盗み、メールメッセージを抽出するなど、ターゲットとなるWebメールによって異なる機能を持っています。
ESETのシニアマルウェア研究者でブログ投稿の著者であるMatthieu Faouは、Operation RoundPressが際立っている理由は、Sednitがコンピュータやクラウド環境を標的にせず、ターゲットの施設で動作するサーバー上のWebメールアカウントを標的にしたためだとDark Readingに語っています。
「特別に作成されたメールを送信することで、Webメールソフトウェアの既知および未知のXSS脆弱性を悪用し、被害者のブラウザでコードを実行できました」とFaouは説明します。「これにより、グループは被害者のアカウントからメールを抽出することができました。コードはブラウザタブ内でのみ実行され、ブラウザを脱出してコンピュータを侵害することはできませんでした。しかし、メールアカウントには機密メール、連絡先リスト、添付ファイルとして送信された文書などの貴重な情報が含まれていることがよくあります。」
Faouはまた、意図された被害者は「攻撃を避けることができない」と述べています。なぜなら、メールを開くことで脆弱性が引き起こされるからです。
そのため、防御者は、MDaemonの欠陥CVE-2024-11182を含む前述のすべての脆弱性に対するパッチが利用可能であることに注意する必要があります。この脆弱性は昨年11月にパッチが適用される前はゼロデイでした。
Operation RoundPressと大局的な視点
Faouは、ESETのテレメトリーによれば、Sednitは近年ウクライナで主に活動しているが、研究者は西側を含む他のヨーロッパのエンティティを標的にしたキャンペーンを定期的に観察していると述べています。
Operation RoundPressは、2022年2月に始まったウクライナ侵攻の一環としてロシアが行った攻撃的なサイバー活動の一部を表しています。
この戦争には、サイバー諜報活動からウクライナの重要インフラに対する執拗なサイバー攻撃までが含まれています。ウクライナの重要インフラに対する攻撃。攻撃は戦争の4年目に入っても続いていますが、全体的な深刻度は減少しているように見えます。
Faouは、主に破壊的な攻撃から主に諜報活動に関連する活動への切り替えを観察しています。「現在、Gamaredonはウクライナで最も活発なグループであり、戦略的な政府機関に対する大量のサイバー諜報キャンペーンを実施しています」とFaouは述べています。
しかし、彼は破壊的な攻撃が完全に消えたわけではないと強調しています。ESETの「APT活動報告書」(2024年10月から2025年3月をカバー)は、ロシア支援のSandwormがいくつかのウクライナのエネルギー企業を標的にしたことを示しています。
SophosのCounter Threat Unitのシニア脅威研究者であるTony Adamsは、同様のことを述べ、「過去18ヶ月間に報告された破壊と妨害のインスタンスは「はるかに少ない」と指摘しています。
「これはウクライナによる防御の改善に起因する可能性があります」とAdamsは説明します。「しかし、ロシアの国家指導の脅威グループを過小評価すべきではありません。ロシアは長期的なゲームをプレイしており、ウクライナに対する将来の作戦で使用するために重要なインフラシステムへの初期アクセスを模索し続けていることは間違いありません。」
翻訳元: https://www.darkreading.com/threat-intelligence/operation-roundpress-ukraine-xss-webmail-attacks