英国国家サイバーセキュリティセンター(NCSC)は、「Authentic Antics」と呼ばれるスパイウェア型マルウェア攻撃を、すでにロシア軍参謀本部情報総局(GRU)と関連付けられている脅威アクターAPT28(Fancy Bear)によるものと正式に認定しました。
NCSCは、Authentic Anticsマルウェアに関する2024年5月6日付の詳細な技術分析で、このマルウェアがターゲットのメールアカウントへアクセス可能な認証情報やOAuth 2.0トークンを窃取していることを明らかにしました。
このマルウェアは2023年に使用が確認されており、Outlookプロセス内で動作し、被害者のサインイン情報や認証コードを傍受するために複数回のMicrosoftログインプロンプトを表示します。
同機関によると、Microsoft 365アプリはテナントごとに設定可能なため、Exchange Online、SharePoint、OneDriveなどの機密データにも影響が及ぶ可能性があります。
Authentic Anticsは、被害者自身のOutlookアカウントを利用して窃取したデータを攻撃者が管理するメールアドレスへ送信し、「送信済みアイテムに保存」オプションを無効にしてこの操作を隠蔽します。
出典:NCSC
Authentic Anticsは、ドロッパー、情報窃取ツール、複数のPowerShellスクリプトなど、複数のコンポーネントで構成されています。
英国サイバー機関によれば、Authentic Anticsは高い洗練度を持ち、長期間にわたり被害者のメールアカウントへのアクセスを維持しつつ、検知されにくい特徴があります。
これは、マルウェアのネットワーク通信が正規サービスとのみ行われるためです。さらに、被害者のメールメッセージを自動的に攻撃者へ転送するため、タスク受信用のコマンド&コントロール(C2)サーバーを必要としません。
「ディスク上の存在は限定的であり、データはOutlook特有のレジストリ位置に保存されます」とNCSCの専門家は技術的な分析で述べています。
帰属と制裁
NCSCはAuthentic Anticsの帰属についてこれまで言及していませんでしたが、本日、同マルウェアがAPT28国家グループ(Fancy Bear、Sednit、Sofacy、Pawn Storm、STRONTIUM、Tsar Team、Forest Blizzardとしても知られる)と関連している証拠を発見したと発表しました。
「政府は本日(7月18日)、ロシア軍情報機関がこれまで知られていなかった悪意あるソフトウェアを使用し、被害者のメールアカウントに対するスパイ活動を可能にしていたことを明らかにしました。これは英国および同盟国の安全性向上につながる動きです」と英国のNCSCは述べています。
「GCHQの一部である国家サイバーセキュリティセンターは、サイバー脅威グループAPT28が、その作戦の一環として高度なマルウェア『AUTHENTIC ANTICS』を展開していたことを初めて明らかにしました。」
この帰属認定を受け、英国政府はGRUの3部隊(26165、29155、74455)およびこれらや関連キャンペーンに関与した18人のロシア人個人に制裁を科しました。
英国当局は、ヨーロッパの不安定化や英国市民の危険を狙ったハイブリッド作戦を実施したGRUエージェントを非難し、Authentic Anticsの展開がロシア情報機関の高度化を示していると評価しました。
同時に、NCSCがこうしたサイバー活動の暴露と責任者への制裁に引き続き取り組む姿勢を強調しました。
Authentic Anticsは、これまでに複数の攻撃で使用されています。
CISOが実際に使うボードレポートデッキ
CISOは、取締役会の理解を得るには、クラウドセキュリティがビジネス価値をどう高めるかを明確かつ戦略的に示すことが重要だと知っています。
この無料で編集可能なボードレポートデッキは、セキュリティリーダーがリスク、影響、優先事項を明確なビジネス用語で提示するのに役立ちます。セキュリティアップデートを有意義な会話や迅速な意思決定につなげましょう。