2016年のDNCハックの背後にいるクレムリン系脅威グループAPT28は、クラシックなスピアフィッシングとWi-Fi近接攻撃、クラウド悪用、さらにはLLM搭載マルウェアの使用を組み合わせることで、国家支援オペレーターが長期的なスパイ活動キャンペーンを実行する方法を静かに再構築している。
APT28は「…実証済みのトレードクラフトと新たな能力を組み合わせ、各ターゲット環境に合わせて手法を継続的に適応させている」と、Picus Securityの研究者は述べている。
APT28が使用したLLM搭載マルウェアに関するPicus Securityの分析に基づき、Picus共同創業者でPicus Labs副社長のSüleyman Özarslan博士は、このキャンペーンの設計は異常なほど雑であると述べた。
「この『LameHug』キャンペーンのソースコードを確認したが、ここ数年で見た中でもっとも非効率なマルウェア設計と言ってよいだろう」と彼は語った。
Özarslanによると、攻撃者は基本的な偵察コマンドを生成するために、実行時に外部のLLM APIに依存しているという。
「プロンプトを見てほしい。攻撃者は実行時に外部のLLM API(Qwen-2.5-Coder)を呼び出し、systeminfo、tasklist、ipconfigのような標準的な偵察コマンドを生成しているだけだ。」
また彼は、この手法は高度なAI駆動型マルウェア技術を示すものではまったくないと強調した。
「これは『動的なAI生成』ではない。余計な手順とレイテンシを追加し、いつ壊れたりハルシネーションを起こしてもおかしくない外部APIへの巨大な依存性を持つ、単なるハードコーディングに過ぎない」と彼は説明した。
Özarslanは、熟練した脅威アクターが通常行うであろうことと対比して説明した。
「有能なマルウェア作者であれば、バッチコマンドをそのままハードコードしただろう。それにもかかわらず、これらのアクターは、単にカッコよく見せたいがためか、あるいはdsqueryの構文を学ぶのが面倒だったために、巨大な単一障害点をわざわざ導入している。」
APT28の主要キャンペーンの歴史的概観
10年以上にわたり、APT28は政治キャンペーン、外務省、防衛組織、アンチドーピング機関、メディア、国際機関を標的としてきた。
APT28の実績は、10年以上にわたる高インパクトな作戦に及ぶ。同グループは2015年のTV5Mondeのダウンを引き起こし、その後2016年にはDCCCおよびDNC侵害を実行した。
また、WADAおよびカナダ・スポーツ倫理センター(CCES)に対する作戦も実施した。
2018年には、OPCWを標的とした近接アクセス侵入を試みたが、この試みは最終的に阻止された。
同グループは2023年にも、ウクライナ政府のウェブサイトに対する大規模な侵害活動を継続した。直近では2025年に、自由形式テキストからシステムコマンドを生成するために大規模言語モデル(LLM)を利用するLameHugマルウェアを展開している。
APT28のフル攻撃チェーンの内部
APT28の活動は、MITRE ATT&CKライフサイクルのあらゆる段階にまたがっている。
偵察には、侵害された近隣ネットワークからの標的型Wi-Fiスキャン、Signalのようなセキュアメッセージングアプリを用いた組織情報のフィッシング、インフラが有効化される数か月前からの予測的ドメイン登録が含まれる。
リソース開発の段階では、同グループはVPSインフラを取得し、テーマ性のあるドメインを登録し、IcedriveやKoofrを含む正規のウェブサービスを悪用して、ペイロードのホスティングや流出データのステージングを行う。
APT28は、技術的なエクスプロイトとソーシャルエンジニアリング、および近接ベースの攻撃を組み合わせることで、複数のベクターから初期アクセスを獲得する。
同グループは、被害者環境への足掛かりを得るために、Roundcube、MDaemon、ZimbraといったプラットフォームにおけるXSSおよびウェブメールの脆弱性を頻繁に標的とする。
また、武器化されたOfficeドキュメントをメールおよびSignal Desktop経由で配信する。この手法はMark-of-the-Web保護を回避し、悪意あるマクロが制限なく実行されることを可能にする。
さらにAPT28は、独特の「Nearest Neighbor」Wi-Fi手法を用い、近隣の建物にあるデュアルホームデバイスを侵害し、それをブリッジとして利用して標的の企業無線ネットワークに侵入する。
実行と永続化は、ネイティブツールに大きく依存している。
APT28はPowerShellとcmd.exeを用いて圧縮、レジストリ編集、ペイロード実行を行う一方で、BeardShell、SlimAgent、SpyPressといったマルウェアは、ログオンスクリプトの変更、COMハイジャック、正規のWindowsコンポーネントをプロキシする悪意あるDLLを通じて永続化を維持する。
APT28が検知を回避する方法
APT28のトレードクラフトは、通常のエンタープライズ行動に溶け込むよう設計されている。
権限昇格には、Windows Print SpoolerサービスにおけるCVE-2022-38028の悪用が含まれており、同グループの防御回避ツールキットは幅広く高度だ。
APT28はステガノグラフィを用いてPNG画像内にシェルコードを隠し、DLLプロキシを利用して信頼されたWindowsライブラリを装い、ウェブメールインプラントでは広範なJavaScriptおよび文字列難読化を用いる。
また、cipher.exe /Wのようなツールを用いてフォレンジック証拠を安全に消去し、調査と復旧を妨害する。
認証情報面では、同グループはLSASSメモリのダンプ、SAMおよびSYSTEMハイブのエクスポート、Active Directoryデータベース(ntds.dit)の標的化、そしてTORや商用VPNを介した大規模なパスワードスプレー攻撃を体系的に実施する。
情報収集も同様に包括的であり、キーロギング、画面キャプチャ、クリップボード監視、メールボックス収集、そしてインプラント発見後も永続性を確保するためにSpyPressによって作成される自動メール転送ルールが含まれる。
コマンド&コントロール(C2)トラフィックは、証明書検証を緩和したHTTPS上で行われることが多く、セグメント化されたシステムに到達するためにゲストWi-Fiや内部ポートフォワーディングを経由してプロキシされる場合もある。
IcedriveやKoofr上のクラウドストレージアカウントは、作戦用の「デッドドロップ」メールボックスとして機能する。インプラントはこれらの場所をポーリングしてタスクファイルを取得し、結果を無害な画像やアーカイブに偽装してアップロードする。
APT28に対抗するための必須セキュリティコントロール
APT28に対する防御には、アイデンティティ、エンドポイント、ネットワーク、クラウド環境を強化するための、調整された多層的な戦略が必要である。
- フィッシング耐性の高いMFAの適用、ウェブメールプラットフォームのパッチ適用、パスワードスプレーの監視、レガシー認証の制限によって、アイデンティティとメールを強化する。
- EDRのカバレッジを強化し、署名なしDLLのロードをブロックし、PowerShellやrundll32のようなLOLBinsを監視し、COMハイジャックや異常な永続化メカニズムを検知する。
- ネットワークセグメンテーションと監視を改善し、ゲストWi-Fiと企業Wi-Fiを分離し、マイクロセグメンテーションを実施し、異常なHTTPSやDNSアクティビティを検出するために東西トラフィックを検査する。
- Active Directoryと認証情報ストアをロックダウンし、階層型管理、PAW(特権アクセスワークステーション)の導入、LSASSやVSS悪用の監視、ntds.ditおよびレジストリハイブアクセスの監査を行う。
- クラウドアイデンティティとウェブサービスを保護し、条件付きアクセスを適用し、非承認のOAuthアプリを監視し、IcedriveやKoofrのようなサービスへの異常なアクセスを検知する。
- APT28特有の挙動に対する検知エンジニアリングを強化し、SpyPressによるウェブメール改変、画像に偽装されたペイロード、portproxyトンネリング、不審なPowerShellによるZIP作成などを対象とする。
- 侵害・攻撃シミュレーションやセキュリティバリデーションプラットフォームを通じてコントロールを継続的に検証し、APT28の手口を模倣して検知・防止のギャップを特定する。
これらのステップは、組織がAPT28および類似の脅威に対するサイバー・レジリエンスを構築するのに役立つ。
APT28の長年にわたる活動は、同グループが適応力と持続性を備えた国家連携型脅威グループへと進化したことを示している。
クラウドストレージに依存したC2、防御回避能力、認証情報窃取は、長期的なアクセスとステルス性を目的として構築された成熟したエコシステムを浮き彫りにしている。
適応的かつ持続的な脅威アクターがもたらす継続的なリスクは、組織がゼロトラスト原則を採用し、侵害を前提とした運用を行う必要性を強調している。
翻訳元: https://www.esecurityplanet.com/threats/apt28s-toolkit-ai-wi-fi-intrusions-cloud-c2/
