ColdRiverが標的に新たなマルウェアを投下

出典: Lightspring via Shutterstock

NATO政府、元外交官、著名なNGO関係者を標的とした大規模なサイバー諜報キャンペーンは、エリートハッカー集団が作戦が露見した際にいかに素早く手法を切り替えられるかを示す典型例です。

今年5月、Googleの脅威インテリジェンスグループ（GTIG）はLOSTKEYSの詳細を公開しました。LOSTKEYSはロシア政府支援のColdRiverグループに関連する高度なマルウェアプラットフォームです。その公開からわずか5日後、ColdRiverはLOSTKEYSを廃止し、まったく新しいツール群を展開しました。これはGTIGの研究者ウェズリー・シールズが今週、同グループ史上最も攻撃的なキャンペーンと評しています。

「［新しいマルウェアは］発見以来、複数回の改良が加えられており、ColdRiverによる開発と作戦のペースが急速に上がっていることを示しています」とシールズは述べています。ColdRiverがこのマルウェアをどれほど長く開発していたかは不明ですが、GTIGは公開以降、LOSTKEYSの事例を一度も確認していません。」

ColdRiver（別名UNC4057、Star Blizzard、Callisto）は、少なくとも2017年から活動しているロシア関連の高度持続的脅威（APT）グループです。当初はフィッシングや認証情報窃取を通じて標的環境への初期アクセスを得ていました。しかし最近では、軽量マルウェアの展開に切り替え、ClickFixというCAPTCHA風の誘導（「あなたが人間であることを確認してください」）を使い、ユーザーに悪意あるファイルを実行させて感染プロセスを開始させる手口を取っています。同グループは戦術を絶えず洗練させる能力を示していますが、運用上のセキュリティミスも繰り返しており、研究者がインフラやドメインを特定し、キャンペーンを妨害することができています。

同グループの新たなツールキットは、GTIGがNOROBOTと名付けた初期マルウェアダウンローダーを中心としています。攻撃者は偽のCAPTCHA誘導を使い、標的にセキュリティチェックを装った悪意あるファイルを実行させていました。システムにインストールされると、NOROBOTはハードコードされたコマンド＆コントロール（C2）サーバーと通信し、次の段階のペイロードを取得し、システムを長期的な制御に備えます。最近の攻撃では、ColdRiverがNOROBOTの暗号鍵を複数の断片に分割し、正しく再構成しないとマルウェアが解除できないバージョンを使用していることをGTIGが観測しました。目的は、解析者が感染プロセスを理解しにくくすることです。

当初、攻撃者はNOFOBOTを使ってYESROBOTをダウンロードしていました。YESROBOTはPythonベースのバックドアで、攻撃者に侵害システムへの完全な制御を与える設計です。ただし、技術的には機能するものの、YESROBOTは完全なPython 3.8環境が必要で、攻撃者にとっては扱いにくく、防御側にとっては比較的発見しやすいものでした。

脅威アクターはこのバックドアをすぐに放棄し、6月以降はNOROBOTを使ってMAYBEROBOTと呼ばれるPowerShellベースのバックドアをダウンロードするようになりました。GTIGの研究者が追跡しているこのMAYBEROBOTの目的は、ColdRiverの攻撃者に軽量で持続的なリモート制御を提供し、コマンドの実行や追加ペイロードのダウンロード・実行、結果のコマンドサーバーへの送信を可能にすることです。

急速に進化するサイバー諜報フレームワーク

GTIGによれば、ColdRiverがNOROBOTや感染チェーンを継続的に改良しているのは、同グループのマルウェア開発能力と機敏さを示しています。新たなマルウェアを展開して以来、同グループは感染チェーンを単純化して成功率を高めたり、再び複雑化して検知を困難にしたりと手法を切り替えています。その結果、シールズによれば、防御側より一歩先を行きつつ、高価値標的への持続的なアクセスを維持するための急速に進化する諜報フレームワークが生まれています。

「GTIGはこれまでに、さまざまな単純度のNOROBOTの複数バージョンを観測しています」と研究者は記しています。「NOROBOTの各バリアント間で加えられた具体的な変更は、高価値標的に対する継続的な情報収集を確保しつつ、検知システムの回避を目指す同グループの粘り強い努力を浮き彫りにしています。」

検知とブロック

GTIGの研究者は、ColdRiverがなぜフィッシングや認証情報窃取からマルウェア展開へと戦術を切り替えたのか、正確な理由を特定できていません。一つの仮説として、すでにフィッシングや認証情報窃取で侵害したシステムから追加情報を収集するためにマルウェアを使っている可能性が挙げられています。

企業のセキュリティチームにとって、ColdRiverの継続的なキャンペーンは、敵対者がいかに素早く適応し、手法を再構築し、公開された後もすぐに活動を再開できるかを思い出させるものです。また、高度な脅威アクターがバックアップ用のツールキットを持っていたり、必要に応じて新たなツールを迅速に開発できることも示しています。

Googleは、ColdRiverの最新のサイバー攻撃キャンペーンに関連する活動を検知・ブロックするために、侵害の指標やYARAルールを公開しています。