Tara Seals、ニュース編集長、Dark Reading
2025年7月31日
読了時間:4分
出典:Sergey Dzyuba(Alamy Stock Photoより)
「シークレット・ブリザード」として知られるロシアの高度持続的脅威(APT)は、モスクワの外国大使館を標的にしており、外交官がインターネット接続に利用している現地の通信会社やISP内で中間者(AiTM)ポジションを利用しています。
これは本日公開されたマイクロソフトの脅威インテリジェンスレポートによるもので、同グループがISPへのアクセスを利用し、カスタムマルウェア「ApolloShadow」を仕込んでいることが判明しました。このマルウェアは、カスペルスキーアンチウイルス(AV)を装った信頼済みルート証明書を標的のマシンにインストールします。
この証明書は、デバイスに悪意のあるウェブサイトを正規のものと認識させることができ、「シークレット・ブリザードが外交システムに侵入し、長期的な情報収集のために持続的なアクセスを維持することを可能にする」と分析されています。
シークレット・ブリザード(別名:Venomous Bear、Uroburos、Snake、Blue Python、Turla、Wraith、ATG26、Waterbug)は、CISAや複数のセキュリティ研究者によって、ロシア連邦保安庁(FSB、センター16)の一部として活動する国家支援型APTと評価されています。さまざまな地政学的動機によるキャンペーンで知られていますが、昨年は特に東欧の大使館や在外公館を対象としたスパイ活動で注目されました。
マイクロソフトは当時、ロシア国家が国内傍受システム(SORMなど)を通じてシークレット・ブリザードの活動を可能にしていると指摘していました。それ以降、外交官を狙った作戦の規模は拡大し、標的はモスクワの公式大使館にも広がっています。
「これらの作戦の規模を考えると、[SORM]システムがグループの現在のAiTM活動を支える中心的役割を果たしている可能性が高い」とマイクロソフトの研究者は述べています。
シークレット・ブリザードのAiTMマルウェア感染チェーン
今回のキャンペーンの最新段階では、シークレット・ブリザードはAiTMポジションを利用し、標的デバイスを正規のキャプティブポータルの背後にリダイレクトしています。これにより、Windowsの「Test Connectivity Status Indicator」(インターネット接続を確認するためにMSN.comへHTTP GETリクエストを送信する正規サービス)が起動されます。
「システムがこのアドレスに対してブラウザウィンドウを開くと、システムは別の攻撃者管理ドメインにリダイレクトされ、証明書の検証エラーが表示され、標的にApolloShadowのダウンロードと実行を促す可能性が高い」とマイクロソフトは述べています。
ApolloShadowの感染チェーン。出典:Microsoft
マルウェアはその後、ユーザーアクセス制御(UAC)のポップアップウィンドウを表示し、CertificateDB.exeというファイル名で証明書のインストールをユーザーに促します(カスペルスキーのインストーラーを装っています)。これにより、攻撃者はシステム内で昇格した権限を得るためのルート証明書をインストールします。
十分な昇格権限を獲得すると、ApolloShadowはホストの全ネットワークを「プライベート」に設定します。
「これにより、ホストデバイスが検出可能になり、ファイアウォールルールが緩和されてファイル共有が可能になるなど、いくつかの変更が発生します。横方向移動の直接的な試みは確認されませんでしたが、これらの変更の主な理由はネットワーク内での横方向移動の難易度を下げることにあると考えられます。」
また、マルウェアはCOM(コンポーネントオブジェクトモデル)オブジェクトを利用してファイアウォールルールを直接設定し、ファイル共有やネットワーク探索を有効にすることもできます。
最終段階では、Windows APIのNetUserAddを使って、感染システム上に「UpdatusUser」というユーザー名と有効期限のないハードコードされたパスワードで管理者ユーザーを作成します。これにより、標的およびそのマシン上のあらゆる情報への持続的なバックドアアクセスが実質的に可能となります。
ApolloShadowカスタムスパイウェアへの防御策
世界中の組織は、ロシア以外の監視体制が強い国々でも、ISPレベルの干渉によるリスクにさらされる可能性があります。マイクロソフトの研究者は、シークレット・ブリザードによるものと類似した複数のキャンペーンを追跡していると警告しています。
幸いにも、リスクにさらされる可能性がある人々には、サイバースパイ活動から身を守るためのさまざまな対策があります。例えば、現地の電話やインターネットサービスを利用せず、プロバイダーのインフラを管理・影響しない国にホストされた衛星ネットワークなどの代替プロバイダーを利用することが挙げられます。また、すべての通信を暗号化トンネルやVPNを通じて信頼できるネットワークにルーティングする方法もあります。
ISPレベルのサイバー脅威への防御方法。Dark Reading作成、マイクロソフトの助言に基づくチャート。
多層防御の観点から、マイクロソフトは以下の防御策を推奨しています:
-
最小権限の原則を実施し、多要素認証(MFA)を利用、特権アカウントを監査して攻撃経路を制限する。ドメイン全体の管理者アカウントは避け、ローカル管理権限も制限する。
-
高権限グループ(Administrators、Remote Desktop Users、Enterprise Admins)を定期的に見直す。攻撃者は持続性のためにこれらのグループにアカウントを追加することが多い。
-
Microsoft Defender Antivirusや同等製品でクラウド配信型保護を有効にし、進化する脅威に備える。
-
エンドポイント検出&応答(EDR)をブロックモードで使用し、従来のアンチウイルスで検出できない脅威も悪性アーティファクトを修復する。
-
攻撃対象領域の削減ルールを有効化し、一般的な攻撃手法を防止する(Microsoft Defender Antivirus利用者全員が利用可能)。
-
特定の信頼基準(普及度、経過年数、信頼リスト)を満たさない実行ファイルの実行をブロックする。
-
難読化された可能性のあるスクリプトの実行を防止する。