英国国家サイバーセキュリティセンター(NCSC)の報告によると、ロシア軍参謀本部情報総局(GRU)に関連する脅威アクターが、これまで知られていなかった悪意のあるソフトウェアを使用し、被害者のメールアカウントに対するスパイ活動を可能にしていることが明らかになりました。
この新たな高度なマルウェアは「Authentic Antics(オーセンティック・アンティクス)」と名付けられており、NCSCによれば、GRUに関連する脅威グループAPT28がこの悪意のあるソフトウェアの展開に関与しているとされています。
Authentic Anticsは、正規の活動に紛れてMicrosoftクラウドアカウントへの持続的なエンドポイントアクセスを可能にするよう特別に設計されていることがNCSCの分析で示されています。
「本物のMicrosoft Outlookの活動に見せかけるために、マルウェアの設計には『多大な工夫』が施されています。」
このマルウェアは定期的にログインウィンドウを表示し、ユーザーに認証情報の入力を促します。入力された認証情報はマルウェアによって傍受され、Microsoftサービスへのアクセスを可能にするOAuth認証トークンとともに盗まれます。
また、被害者のデータは、被害者のアカウントから攻撃者が管理するメールアドレス宛てにメールを送信することで流出しますが、これらのメールは「送信済み」フォルダには表示されません。
マルウェアの分析によると、従来型のコマンド&コントロール機能は実装されておらず、これにより検知される可能性が低くなっています。
ロシアのサイバー脅威は依然として継続
NCSCのオペレーションディレクター、ポール・チチェスター氏は「Authentic Anticsマルウェアの使用は、ロシアGRUによるサイバー脅威の持続性と高度さを示しています」とコメントしています。
「NCSCが長年にわたりGRUの活動を調査してきた結果、ネットワーク防御者はこの脅威を軽視すべきではなく、システム防御のためには監視と防御措置が不可欠であることが分かっています」と彼は述べています。
Authentic Anticsマルウェアは、2023年にMicrosoftおよびNCSCが認定するサイバーインシデント対応プロバイダーNCC Groupによって調査されたサイバーインシデントの後に発見されました。
2024年6月17日、ウクライナの国家コンピュータ緊急対応チーム(CERT-UA)は「LameHug」と名付けられた新たなマルウェアを確認しました。同チームは、このマルウェアがAPT28による同国の安全保障・防衛分野を標的としたサイバー攻撃と関連している可能性が中程度の確度であると述べています。
新たなLameHugマルウェアについてさらに読む:「LameHug」マルウェアがAI生成コマンドを展開
2025年5月、米国家安全保障局(NSA)およびNCSCを含む同盟国の共同サイバーセキュリティアドバイザーは、ロシア国家が支援する西側の物流企業やテクノロジー企業を標的としたサイバーキャンペーンを強調しました。この活動もAPT28と関連付けられています。
英国、ロシアGRU将校に制裁
英国政府はAuthentic Anticsマルウェアの分析を公表した同日に、GRUの3つの部隊(26165、29155、74455)および18人のGRU将校・エージェントに対し、世界中でロシアの地政学的・軍事的目的を支援するサイバーおよび情報干渉活動への関与を理由に制裁を発表しました。
英国外務大臣デイビッド・ラムジー氏は「クレムリンは疑うべきではありません。我々は彼らが影で何をしようとしているかを見抜いており、決して容認しません。だからこそ、ロシアのスパイに対して断固たる制裁措置を取るのです。英国を危害から守ることは、この政府の『変革の計画』の根幹です」と述べました。
APT28は、Fancy Bear、Pawn Storm、Sednit、Sofacy、Iron Twilightとしても追跡されています。
翻訳元: https://www.infosecurity-magazine.com/news/new-malware-targeting-email/