ロシアのハッカーが、モスクワの外交関係者のデバイスにマルウェアを展開するために、アドバーサリー・イン・ザ・ミドル(AitM)攻撃に依存していたことが発覚したと、マイクロソフトが報告しています。
これらの攻撃は少なくとも2024年から継続しており、ロシア政府支援のAPT「Secret Blizzard」と関連付けられたカスタムマルウェアファミリー「ApolloShadow」が展開されていました。
少なくとも2006年から活動しているこの脅威アクターは、Krypton、Snake、Turla、Uroburos、Venomous Bear、Waterbugとも呼ばれており、ロシアのFSB保安庁のためにサイバースパイ活動を行っていることで知られています。
「以前は、このアクターがロシア国内で外国および国内の組織に対してサイバースパイ活動を行っていると低い確信度で評価していましたが、インターネットサービスプロバイダー(ISP)レベルでその能力があることを確認できたのは今回が初めてです」とマイクロソフトは述べています。
Secret Blizzardは以前にも、ロシアの国内傍受システム(System for Operative Investigative Activities:SORMなど)を利用しているのが確認されており、これによりISP内でAitMのポジションを確立し、大規模なマルウェア展開に活用できた可能性が高いと、同社は説明しています。
最近のキャンペーンでは、モスクワの外国大使館を標的とし、脅威アクターはターゲットデバイスをキャプティブポータル(ネットワークアクセス管理用の正規ページ)の背後にリダイレクトし、システムによるネットワーク接続テストが開始されました。
その後、被害者のブラウザはアクターが管理するドメインにリダイレクトされ、証明書エラーが表示され、ApolloShadowの実行と、攻撃者にデバイス上で高い権限を与える偽のKasperskyルート証明書のインストールが促されました。
マルウェアが低い権限で実行された場合、ユーザーアカウント制御(UAC)を回避し、ユーザーを騙して最高権限を付与させようとします。高い権限で実行された場合は、すべてのネットワークをプライベートに設定し、デバイスを検出可能にし、ファイル共有を有効にするなどの設定変更を行います。
広告。スクロールして続きをお読みください。
ApolloShadowはWindowsのcertutilユーティリティを利用して2つのルート証明書をインストールし、一時ファイルをすべて削除、Firefoxに証明書を信頼させるための設定ファイルを追加し、さらに「UpdatusUser」という管理者ユーザーアカウントを作成します。このアカウントのパスワードはハードコードされており、期限切れになりません。
マイクロソフトによると、ロシア国内で現地のISPや通信サービスを利用しているすべての外交関係者がSecret Blizzardのキャンペーンの標的となっている可能性があります。そのため、特にモスクワで活動する組織は、通信を暗号化トンネル経由でルーティングするか、信頼できるVPNサービスを利用することが推奨されます。
最小権限の原則の適用、多要素認証(MFA)の実装、特権アカウントのアクティビティ監査と定期的な管理者アカウントの見直し、適切なサイバーセキュリティ対策の有効化、スクリプトや実行ファイルの実行ブロックなどにより、感染リスクを軽減できます。
関連記事: ロシア政府系ハッカー、サイバー犯罪者からパスワードを購入していたことが発覚
関連記事: ロシア航空会社アエロフロートへのサイバー攻撃で100便以上が欠航