Secret Blizzardがモスクワの大使館を標的にISPレベルのAitM攻撃でマルウェアを展開

2025年7月31日Ravie Lakshmananサイバー諜報活動 / ネットワークセキュリティ

ロシアの国家支援型脅威アクターであるSecret Blizzardは、インターネットサービスプロバイダー（ISP）レベルでの中間者（AitM）攻撃を用いて、モスクワに所在する外国大使館を標的とした新たなサイバー諜報キャンペーンを展開し、ApolloShadowと呼ばれるカスタムマルウェアを配布していることが確認されました。

「ApolloShadowは、信頼されたルート証明書をインストールする能力を持ち、デバイスを悪意のあるアクターが管理するサイトを信頼させることで、Secret Blizzardが外交機関のデバイス上で持続的なアクセスを維持し、情報収集を行うことを可能にします」とMicrosoft脅威インテリジェンスチームは報告書でThe Hacker Newsに伝えています。

この活動は少なくとも2024年から継続していると評価されており、ロシア国内で現地のISPや通信サービスに依存している外交関係者にとってセキュリティリスクとなっています。

Secret Blizzard（旧称Krypton）は、ロシア連邦保安庁（FSB）と関連があり、サイバーセキュリティ業界ではBlue Python、Iron Hunter、Pensive Ursa、Snake、SUMMIT、Uroburos、Turla、Venomous Bear、Waterbugなどの別名でも追跡されています。

2024年12月、MicrosoftとLumen TechnologiesのBlack Lotus Labsは、このハッキンググループがパキスタン拠点の脅威アクターのコマンド＆コントロール（C2）インフラを利用して自らの攻撃を実行し、追跡を困難にしていることを明らかにしました。

このアクターはまた、他の脅威アクターに関連するマルウェアを利用して、ウクライナに所在する標的デバイスに自らのKazuarバックドアを配布していることも観測されています。

Windowsの開発元であるMicrosoftは、AitMのポジションは合法的な傍受によって実現されている可能性が高く、Kasperskyアンチウイルスを装ってルート証明書をインストールし、システムへの高い権限を取得していると指摘しています。

初期アクセスは、標的デバイスを脅威アクターが制御するインフラにリダイレクトし、キャプティブポータルの背後に置くことで実現され、ApolloShadowマルウェアのダウンロードと実行につながります。

「キャプティブポータルの背後に置かれると、WindowsのTest Connectivity Status Indicatorが起動されます。これは、デバイスがインターネットに接続されているかどうかを確認する正規のサービスで、hxxp://www.msftconnecttest[.]com/redirectにHTTP GETリクエストを送り、本来はmsn[.]comにリダイレクトされるべきものです」とMicrosoftは述べています。

「システムがこのアドレスでブラウザウィンドウを開くと、システムは別のアクターが制御するドメインにリダイレクトされ、証明書の検証エラーが表示される可能性が高く、標的にApolloShadowのダウンロードと実行を促します。」

マルウェアはその後、ホスト情報をC2サーバーにビーコンし、デバイスがデフォルトの管理者設定で動作していない場合はCertificateDB.exeというバイナリを実行し、第2段階のペイロードとして未知のVisual Basicスクリプトを取得します。

最終段階では、ApolloShadowプロセスが再び自身を起動し、ユーザーにユーザーアカウント制御（UAC）のポップアップウィンドウを表示して、利用可能な最高権限を付与するよう指示します。

ApolloShadowの実行経路は、実行中のプロセスがすでに十分な昇格権限で動作している場合に変化し、それらの権限を悪用してレジストリプロファイルの変更によりすべてのネットワークをプライベートに設定し、UpdatusUserというユーザー名とハードコードされたパスワードで管理者ユーザーを作成し、マシンへの持続的なアクセスを可能にします。

「これにより、ホストデバイスが検出可能になったり、ファイアウォールルールが緩和されてファイル共有が可能になるなど、いくつかの変更が発生します」と同社は述べています。「横方向移動の直接的な試みは確認されませんでしたが、これらの変更の主な目的はネットワーク上での横方向移動の難易度を下げることにあると考えられます。」

このステップが正常に完了すると、被害者にはデジタル証明書の配備が進行中であることを示すウィンドウが表示され、certutilユーティリティを使って2つのルート証明書がマシンにインストールされます。また、「wincert.js」というファイルも配置され、Mozilla Firefoxがルート証明書を信頼できるようにします。

Secret Blizzardの活動から防御するため、モスクワで活動する外交機関には最小権限の原則（PoLP）の実施、特権グループの定期的な見直し、すべてのトラフィックを信頼できるネットワークへの暗号化トンネル経由でルーティングする、または仮想プライベートネットワーク（VPN）サービスプロバイダーの利用が推奨されています。