出典:Skorzewiak(Shutterstock経由)
ロシア語話者によるトミリスサイバースパイグループは、独立国家共同体(CIS)全域の外務省、政府間組織、政府機関を標的とした継続的なキャンペーンで、新たな攻撃ツールと手法を駆使しています。
この脅威アクターの活動を2021年から追跡しているカスペルスキーの研究者は、2025年初頭から始まった新たな悪意あるオペレーションを特定し、それが高価値の外交・政治インフラに影響を与えていると説明しています。
トミリスの戦術的変化
カスペルスキーによると、今回の攻撃は2つの大きな戦術的変化が際立っています。第一に、トミリスはコマンド&コントロール(C2)通信をTelegramやDiscordなどの人気メッセージングプラットフォーム経由でルーティングし、悪意ある活動を正規のネットワーク利用に紛れ込ませ始めています。
第二に、グループは現在、複数のプログラミング言語でマルウェアを展開し、適応性とステルス性を高めています。トミリスはGo、Rust、C、C++、C#、Pythonなどで書かれたインプラントを使い、侵害されたシステムに第2段階のペイロードを展開しています。これらのペイロードは通常「Havoc」または「AdaptixC2」であり、攻撃者が感染システムを手動で制御するためのオープンソースC2フレームワークです。
「戦術の進化は、脅威アクターがステルス性、長期的な持続性、政府および政府間組織の戦略的標的化に重点を置いていることを示しています」とカスペルスキーは最近のブログ投稿で述べています。「C2通信にパブリックサービスを利用し、多言語インプラントを活用することは、行動分析やネットワークトラフィック検査などの高度な検知戦略が、こうした脅威を効果的に特定・緩和するために必要であることを浮き彫りにしています。」
トミリスは、高度持続的脅威(APT)グループであり、CIS諸国および中央アジアの政府・外交機関から内部文書を盗み出すことに注力しています。このグループは高度さよりも持続性で知られており、Goや.NETなどで書かれた使い捨ての「バーナー」マルウェアを繰り返し投入し、標的システムのセキュリティ防御を回避できるバリアントが現れるまで試行します。脅威アクターの強引なアプローチと運用上のステルス性への関心の低さは、より慎重な国家系APTグループとはやや異なりますが、それでもカスペルスキーによれば依然として危険な存在です。
過去の作戦では、トミリスはロシア連邦保安庁(FSB)と関連付けられる脅威グループ「Turla」と同じマルウェアツールの一部を展開しており、両者の間でツールの共有や協力が行われているのではないかという疑問が生じています。しかし、これらの重複にもかかわらず、カスペルスキーは標的の優先順位や運用手法の違いから、トミリスとTurlaは別個の存在であると評価しています。
感染チェーンと検知の課題
現在進行中のキャンペーンにおけるトミリスの感染チェーンは、これまでのキャンペーンと同様、悪意あるパスワード付きアーカイブを含むフィッシングメールから始まります。パスワードは通常、メール本文に記載されています。アーカイブには、ファイル名の操作によって正規のドキュメントに見せかけた悪意ある実行ファイルが含まれており、偽のドキュメント拡張子の後に多数の空白を挿入することで、被害者がファイルをプレビューした際に実際の実行ファイル拡張子を隠しています。
カスペルスキーが分析した悪意あるメールおよび誘導文書の半数以上はロシア語で作成され、ロシアをテーマにした内容が含まれており、同グループがロシア語話者を主な標的としていることが示唆されます。少なくとも一部のケースでは、トミリスがトルクメニスタン、キルギス、タジキスタン、ウズベキスタンの被害者を、それぞれの国の主要言語でカスタマイズした攻撃内容で標的にしていることがカスペルスキーにより確認されています。
トミリスが使用しているマルウェアには、Rustで書かれたツールが含まれており、システム情報を自動的に収集し、.pdfや.jpgなどの一般的な拡張子を持つ特定の文書や画像を探し、データを攻撃者が管理するDiscordサーバーに送信できます。別のPython製ツールは、特定のタイプに一致するファイルを積極的に収集し、それらを1つのアーカイブに圧縮してC2サーバーにアップロードします。
他のバックドアコンポーネントは、攻撃者が感染システム上でリモートコマンドを実行したり、ファイルのアップロード・ダウンロード、実行中プロセスの停止などを可能にします。カスペルスキーはまた、トミリスの関係者が、感染システムから被害者環境内の他のコンピュータへピボットするなど、特殊なプロキシツールを使用していることも発見しました。
C2やマルウェア配布にTelegramやDiscordなどの正規プラットフォームを利用するという近年人気の高い戦術は、企業のセキュリティチームや他の防御者にとって重大な検知の課題となり得ます。これらのサービスはしばしば、従業員がコラボレーションやコミュニケーション目的で利用しているため、企業環境でホワイトリストに登録されていることが多いのです。悪用の検知には、通常、詳細なトラフィック検査機能や行動分析ツールへの投資が必要となります。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/tomiris-unleashes-havoc-new-tools-tactics
