セキュリティ研究者らは、ロシアの脅威アクターAPT29による新たなサイバー諜報キャンペーンを発見したことを受け、西側の政党に対して警戒を強めるよう警告した。
ロシア対外情報庁(SVR)の一部とみられる同グループ(別名:Cozy Bear、Nobelium)は、歴史的に外交関連の標的に注力してきたが、COVID-19ワクチン開発企業への攻撃や、悪名高いSolarWinds キャンペーンにも関与していたとされる。
しかしMandiantによれば、2024年2月以降、同グループはドイツの政党を狙ったフィッシングキャンペーンを実施しているという。
被害者には、キリスト教民主同盟(CDU)党から送信されたかのように偽装されたメールが届き、3月1日の夕食レセプションへの招待が記されていた。メール内のリンクは、攻撃者が管理する侵害済みウェブサイト上にホストされた、「Rootsaw」ドロッパーを含む悪意のあるZIPファイルへ被害者を誘導した。
APT29に関する詳細はこちら:ロシアのAPTグループが#COVID19ワクチン開発企業を積極的に標的化。
Rootsaw(別名:EnvyScout)は、APT29が一般的に使用する第一段階のペイロードである。これにより「Wineloader」と名付けられた新たなバックドア亜種が配信された。Mandiantによると、これは2024年1月下旬、チェコ、ドイツ、インド、イタリア、ラトビア、ペルーの外交関連組織を標的とした作戦で初めて確認された。
報告書は、WineloaderにはBurnbatter、Muskybeat、Beatdropといった他のAPT29マルウェアファミリーと一致する複数の特徴が含まれており、共通の開発者の存在を示していると主張した。
「Rootsawは、外国の政治情報を収集するためのAPT29の初期侵入の取り組みにおいて、引き続き中核的な構成要素である」とMandiantは続けた。
「第一段階マルウェアの利用が拡大し、ドイツの政党を標的にしていることは、このAPT29サブクラスターの典型的な外交重視の焦点からの明確な逸脱であり、SVRが政党や市民社会の他の側面から情報を得て、モスクワの地政学的利益を前進させようとしていることをほぼ確実に反映している。」
報告書はまた、APT29のマルウェア作戦は「非常に適応的」であり、クレムリンの地政学的目標と歩調を合わせて動くよう設計されていると警告した。
「したがって、APT29がこれらの組織に関心を示しているのはドイツに限定される可能性は低いと我々は疑っている」と、同社は付け加えた。
「ウクライナやその他の火種となる外交政策上の問題に関連する、西側の政治動向の変化を理解することにモスクワが重大な関心を持っていることを踏まえると、政治的スペクトラム全体にわたる西側の政党およびそれに関連する組織も、将来SVR関連のサイバー諜報活動の標的となり得る。」
翻訳元: https://www.infosecurity-magazine.com/news/russian-cozy-bear-group-targets/
