Microsoftは、ロシアの国家系アクター「Secret Blizzard」による新たなサイバースパイ活動キャンペーンを発見した。標的はモスクワに所在する大使館だという。
攻撃はロシアの公式な国内傍受システムの支援を受けており、カスペルスキーのアンチウイルスソフトを装った悪意あるファイルの使用を伴う。
研究者らは7月31日付のブログで、「少なくとも2024年から継続しているこのキャンペーンは、モスクワで活動する外国大使館、外交関連組織、その他の機微な組織に高いリスクをもたらす。特に、現地のインターネットプロバイダーに依存している組織は危険性が高い」と記している。
Secret Blizzardは高度持続的脅威(APT)グループで、米当局はロシア連邦保安庁(FSB)に帰属するとしている。
同グループは、外務省、各国大使館、政府機関、防衛関連企業を標的とし、AiTMやスピアフィッシングなどの手口を用い、内製ツールやマルウェアを活用している。
2024年後半、MicrosoftはSecret Blizzardに関する一連のレポートを公開し、サイバー犯罪者や他のサイバースパイ集団を含む他の脅威アクターのインフラやツールを利用している点を強調した。
合法的傍受によって可能になったAiTM
Microsoftが、モスクワに所在する外国大使館に対するこのサイバースパイ活動キャンペーンをSecret Blizzardが実施していることを最初に観測したのは2025年2月だった。
脅威アクターがインターネットサービスプロバイダー(ISP)レベルで、国外・国内の組織に対してスパイ活動を行っていることが観測されたのは今回が初めてだ。
新たに発見されたキャンペーンでは、adversary-in-the-middle(AiTM)の位置を利用して、Secret Blizzard独自のApolloShadowマルウェアを展開し、外交関連デバイス上での永続性を維持できるようにしている。AiTMとは、攻撃者が2つ以上のネットワークの間に位置取りし、その後続の活動を支援する手法である。
これは、ロシア国内で現地のISPや通信サービスを利用する外交関係者が、それらのサービス内でSecret Blizzardの標的となる可能性が非常に高いことを意味する。
研究者らは、Secret BlizzardのAiTMの位置取りは、ロシアの国内傍受システム「System for Operative Investigative Activities」のような合法的傍受によって促進されている可能性が高いとみている。
これにより攻撃者は、標的デバイスをキャプティブポータルの背後に置くことでリダイレクトできる。
こうしたシステムは、同グループの大規模な作戦を可能にするうえで不可欠である可能性が高い。
キャプティブポータルの背後に置かれると、Windows Test Connectivity Status Indicatorが起動する。これは、hxxp://www.msftconnecttest[.]com/redirect へのHTTP GETリクエストを送信し、msn[.]comへ誘導されるはずの挙動によって、デバイスがインターネットにアクセスできるかどうかを判定する正規のサービスである。
標的システムがこのアドレスをブラウザで開くと、攻撃者が管理する別のドメインへリダイレクトされ、証明書検証エラーが表示される可能性が高い。これにより標的はApolloShadowのダウンロードと実行を促される。
実行後、このマルウェアはProcessTokenの権限レベルを確認する。デバイスが既定の管理者設定で動作していない場合、ApolloShadowは、カスペルスキーのインストーラーを装ったファイルの下に証明書をインストールするようユーザーに促す。
起動されると、このファイルはルート証明書をインストールし、攻撃者がシステム内で昇格した権限を得られるようにする。
これにより、ネットワークへの永続的なアクセスが可能となり、情報収集に用いられる可能性が高い。
十分に昇格した権限でプロセスが実行されると、ApolloShadowはすべてのネットワークを「プライベート」に設定してホストを改変する。これにより複数の変更が誘発され、ホストデバイスが検出可能になり、ファイル共有を可能にするためにファイアウォール規則が緩和される。
モスクワ拠点の大使館が取るべき防御策
Microsoftは、Secret BlizzardのAiTM手口から保護するため、モスクワ拠点の大使館に対し、すべてのトラフィックを信頼できるネットワークへの暗号化トンネル経由でルーティングするか、仮想プライベートネットワーク(VPN)サービスプロバイダーを利用するよう助言した。
その他の推奨事項は以下のとおり:
- 最小権限の原則を実践し、環境内の特権アカウント活動を定期的に監査する
- ドメイン全体に及ぶ管理者レベルのサービスアカウントの使用を避け、ローカル管理者権限を制限する
- 普及度、経過年数、または信頼済みリストの基準を満たさない限り、実行ファイルの実行をブロックする
- 難読化されている可能性のあるスクリプトの実行をブロックする
Microsoftの調査結果に対するカスペルスキーの回答
サイバーセキュリティ企業のカスペルスキーは、Secret Blizzardキャンペーンに関するMicrosoftの調査に対し、Infosecurity に次の声明を提供した:
「信頼されるブランドは、本人の認識や同意がないまま、おとりとして悪用されることがよくあります。私たちは常に、アプリケーションは公式ソースからのみダウンロードし、信頼できる企業からのものだと主張するあらゆる連絡について真正性を確認することを推奨しています。
「カスペルスキーは、発生源を問わず、あらゆる脅威からすべてのユーザーを保護することに専念しています。当社の顧客は、今回の調査で説明されている脅威からすでに保護されています。ISPを介した標的型攻撃に関する以前の調査においてMicrosoftがカスペルスキーに言及したことに感謝するとともに、セキュリティコミュニティにおける継続的な協力を期待しています」と同社は記した。
この記事は、カスペルスキーのコメントを含めるため、BST 14.00に更新されました
翻訳元: https://www.infosecurity-magazine.com/news/secret-blizzard-moscow-embassies/
