TokyoBlackHatNews

infosecurity-magazine.com 5分で読了

ロシアのAPTグループ、ゼロデイ攻撃とワイパーで欧州での攻撃を激化

ESETによると、2024年末から2025年初頭にかけて、ロシアと連携するハッキンググループによる悪意あるサイバー活動の強度が増した。

ESET Researchは、APT Activity Report Q4 2024–Q1 2025において、2024年10月から2025年3月にかけて、中国、北朝鮮、イラン、ロシアおよびその他いくつかの国の主要な高度持続的脅威(APT)グループの活動を記録した。

研究チームは、この期間にロシアのAPTグループがウクライナおよびEUに対する攻撃を激化させ、ゼロデイ脆弱性を悪用し、新たなワイパーを展開していたことを確認した。

アジアでは、最も多くのAPTキャンペーン(40.1%)を担った中国と連携するアクターが、主にEU政府機関と海事分野を標的として、スパイ活動を継続した。

一方、北朝鮮の支援を受けるグループは、偽の求人情報とソーシャルエンジニアリングを用いて体制の資金獲得を狙うキャンペーンを拡大した。

APT cyber-attack sources, Q4 2024-Q1 2025. Source: ESET Research
APTサイバー攻撃の発生源(2024年第4四半期~2025年第1四半期)。出典:ESET Research

イランのAPTグループは中東地域への主要な注力を維持し、主として政府機関や、イスラエルの製造・エンジニアリング分野の組織・事業体を標的とした。

5月19日に公開された本レポートは、ESET製品を通じて収集され、ESET研究者が検証した共有インテリジェンスに基づく、ESET顧客向けに提供可能なデータのスナップショットである。

ロシア勢の最前線に立つFancy Bear、Gamaredon、Sandworm

監視期間中、ロシアと連携する脅威アクター、とりわけFancy Bear、Gamaredon、Sandwormは、主にウクライナおよびEU諸国を標的として攻撃的なキャンペーンを継続した。ウクライナは、重要インフラおよび政府機関に対する最も激しいサイバー攻撃に直面した。

ロシア連邦保安庁(FSB)と関係があるとみられるハッキング部隊Gamaredonは、ウクライナを標的とするアクターの中で最も活発な存在であり続けた。特筆すべき点として、Primitive Bear、UNC530、Aqua Blizzardとしても知られる同グループは、マルウェアの難読化ツール群を改良し、Dropboxを悪用するファイル窃取ツールPteroBoxを導入した。

ロシア軍参謀本部情報総局(GRU)と関連するグループFancy Bear(APT28)は、ウェブメールサービスにおけるクロスサイトスクリプティング(XSS)脆弱性の悪用を洗練させ、Operation RoundPressを複数のメールサービスに拡大した。Sednit、Pawn Storm、Forest Blizzard、Sofacy Groupとしても知られる同グループは、MDaemon Email Serverのゼロデイ脆弱性(CVE-2024-11182)を用いてウクライナ企業に対する攻撃に成功した。

GRUと関連する別のグループSandworm(APT44)は、主にウクライナのエネルギーインフラの侵害に注力した。Voodoo Bear、Iron Viking、Telebots、Seashell Blizzardとしても知られる同グループは、Active Directoryのグループポリシーにおける弱点を悪用して、新たなワイパーZEROLOTを展開した。

RomComなど他のロシアと連携するグループも、Mozilla Firefox(CVE-2024-9680)やMicrosoft Windows(CVE-2024-49039)を含む著名ソフトウェアに対してゼロデイ攻撃を展開し、高度な能力を示した。

ESETが観測したその他の主要APTキャンペーン

レポートのその他の主なポイントは以下のとおり:

  • Mustang Pandaは中国支援のAPTグループの中で最も活発であり、Korplugローダーおよび悪意あるUSBドライブを介して政府機関や海上輸送企業を標的とした
  • 中国と連携する別のグループPerplexedGoblinは、ESETがNanoSlateと命名した新たなスパイ用バックドアを、中欧の政府機関に対して配布した
  • 北朝鮮と連携する脅威グループDeceptiveDevelopmentは標的範囲を大幅に拡大し、主に暗号資産、ブロックチェーン、金融分野における偽の求人情報を用いて、マルチプラットフォームのWeaselStoreマルウェアを配布した。
  • KimsukyおよびKonniは、2024年末の顕著な減少の後、2025年初頭に通常の活動レベルへ戻り、英語圏のシンクタンク、NGO、北朝鮮専門家から標的を移し、主として韓国の組織および外交関係者に焦点を当てた
  • 北朝鮮グループAndarielは、1年間の活動停止を経て、韓国の産業用ソフトウェア企業に対する高度な攻撃で再浮上した

興味深いことに、ESETはまた、2025年2月28日、悪意あるショートカットと暗号化されたダウンローダーを含むVHDXファイル(同社がRadialAgentと呼称)が、日本からVirusTotalに、韓国と連携するサイバースパイグループAPT-C-60によってアップロードされたことを確認した。

ESETの脅威リサーチディレクターであるJean-Ian Boutin氏は次のように述べた。「強調した作戦は、この期間に当社が調査したより広範な脅威状況を代表するものです。これらは主要な傾向と発展を示しており、ESET APTレポートの顧客に提供されるサイバーセキュリティ・インテリジェンスデータのごく一部にすぎません。」

Country and sector breakdown per region for APT cyber-attacks, Q4 2024-Q1 2025. Source: ESET Research
APTサイバー攻撃(2024年第4四半期~2025年第1四半期)における地域別の国・セクター内訳。出典:ESET Research

翻訳元: https://www.infosecurity-magazine.com/news/russian-apt-intensify-cyber/

ソース: infosecurity-magazine.com
#ESET APT活動レポート #EUへのサイバー攻撃 #Fancy Bear(APT28) #Gamaredon(Primitive Bear) #Sandworm(APT44) #ウクライナの重要インフラ #クロスサイトスクリプティング(XSS) #ゼロデイ脆弱性 #ロシア系APT #ワイパー攻撃

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新