ウクライナのセキュリティ研究者らは、アゼルバイジャンの軍事戦略に関する情報を収集する目的で設計された可能性があるという、ロシアによる大規模な新たなサイバー諜報キャンペーンを明らかにした。
ウクライナ国家安全保障・国防会議(NDSC)の新たな報告書によれば、攻撃の背後にいたのはAPT29(別名Cozy Bear、Nobeliumなど多数の呼称)だという。
標的となったのは、アゼルバイジャン、ギリシャ、ルーマニア、イタリアの各国大使館に加え、世界銀行、欧州委員会、欧州評議会、WHO、国連などの国際機関だった。
「地政学的な含意は重大だ。考え得る動機はいくつかあるが、最も明白な目的の一つは、SVRがアゼルバイジャンの戦略的活動、特にアゼルバイジャンによるナゴルノ・カラバフ侵攻に至る過程に関する情報を収集することだった可能性がある」とNDSCは述べた。
「標的となった国々――アゼルバイジャン、ギリシャ、ルーマニア、イタリア――が、アゼルバイジャンと重要な政治的・経済的関係を維持している点は注目に値する。」
APT29に関する詳細はこちら:ウクライナの外交官が「驚異的」なBMWフィッシングキャンペーンの標的に
このキャンペーンは、外交用車両の売却を餌にしたスピアフィッシングメールとして始まった。RAR添付ファイルには CVE-2023-3883 が含まれており、これは脅威アクターが.zipアーカイブ内で、無害なファイルと同名の悪意あるフォルダーを挿入できるバグだ。
「ユーザーが無害なファイルを開こうとする過程で、システムは同名のフォルダー内に隠された悪意あるコンテンツを意図せず処理してしまい、その結果、任意のコード実行が可能になる」とNDSCは説明した。
この攻撃では、ユーザーがフィッシングメールに含まれるRARアーカイブをクリックすると、売却用の車のPDFを表示するスクリプトが実行される一方で、PowerShellスクリプトが同時にダウンロードされ実行される。脅威アクターは、Ngrokインスタンス上でホストされた悪意あるペイロードサーバーにアクセスするために、Ngrokの無料の静的ドメインを使用しているとみられる。
「このようにNgrokの機能を悪用することで、脅威アクターはサイバーセキュリティ上の取り組みをさらに複雑化させ、目立たないまま活動できるため、防御や攻撃者特定がより困難になる」と、報告書は指摘している。
ハッカーがCVE-2023-3883を悪用したのは今回が初めてではない。これは8月に、ロシアのSednit APTグループ(APT28)によって悪用されているのが確認されており、当時ゼロデイ脆弱性だったものについて Group-IBが最初に 通知してから間もない時期だった。
翻訳元: https://www.infosecurity-magazine.com/news/russias-apt29-embassies-ngrok/
