Black Hat USAでの発表において、サイバーセキュリティ企業のESETは、ベラルーシ国内の複数の大使館を標的とするサイバー諜報キャンペーンに関与する新たな脅威アクターの発見を明らかにした。
同社は2018年、ベラルーシにある欧州の大使館である顧客の一つがサイバー諜報キャンペーンの標的となっていることを検知したことをきっかけに、「MoustachedBouncer」と名付けた同グループの活動追跡を開始した。
当時、MoustachedBouncerは主に、ESETが「NightClub」と命名したマルウェア・フレームワークを使用していた。これは「nightclub」というC++クラスを含んでいるためである。
2014年の単純なバックドアから、NightClubはメールをコマンド&コントロール(C&C)通信に用いる、完全にモジュール化されたC++インプラントへと進化した。具体的には、NightClubは無料のメールサービスを用いてデータを持ち出しており、チェコのウェブメールサービスSeznam.czおよびロシアのウェブメールプロバイダーMail.ruが利用されている。ESETは、攻撃者が正規のアカウントを侵害するのではなく、自らメールアカウントを作成したとみている。
2016年以降は、音声録音、スクリーンショット取得、キーストロークの記録など、スパイ機能を拡張する追加モジュールをメールで配信できるようになった。
ESETの研究者Matthieu Faouは、特にロシアによるウクライナ侵攻以降、このグループがベラルーシ政権と連携している可能性が非常に高いと推定した。
「2020年にこのグループの追跡を見失いましたが、2022年2月に再びレーダーに捉えました。ロシアのウクライナ侵攻のわずか4日前、戦争に何らかの形で関与している欧州のある国のベラルーシ大使館を標的にしたのです」とFaouはInfosecurityに語り、国名は明かさなかった。
高度なアドバーサリ・イン・ザ・ミドル攻撃
しかし、MoustachedBouncerの手法・戦術・手順(TTP)は進化している。2020年、同グループは2つ目のインプラント「Disco」を使い始めた。これはGoで書かれ、データの持ち出しを目的とした単純なドロッパーである。
また、バックドアの植え込みと並行して、アドバーサリ・イン・ザ・ミドル(AitM)攻撃も実施し始めた。
「AITMとは、攻撃者が2つのネットワーク機器の間に位置し、ネットワークトラフィックを盗聴してやり取りされる情報を収集し、通信が暗号化されていなければネットワークパケットを改変したり新たなパケットを注入したりできる状態を指します」とFaouはInfosecurityに語った。
この手法はルーターレベル、またはインターネットサービスプロバイダー(ISP)レベルで展開でき、後者は「合法的傍受システム」と呼ばれることもある。これは、権威主義体制がインターネット遮断を強制する際にISPが用いる手法の一つである。
「大使館ネットワークに対してAitMを行う目的でルーターが侵害されている可能性を完全に排除することはできませんが、ベラルーシに合法的傍受の能力が存在することから、トラフィックの改変は標的側のルーターではなくISPレベルで起きていることが示唆されます」とESETの研究者は説明した。
ロシアに着想を得た監視システム
MoustachedBouncerは、SORMと呼ばれる監視システムを悪用している。これは少なくとも2016年以降、ベラルーシのISPに傍受装置の設置を義務付けるもので、ロシアのTSPUシステムに類似している。
ESETは、このシステムにより、MoustachedBouncerがC#で開発された「SharpDisco」というドロッパーを用いてHTTPリダイレクトを実行できたとみている。
「標的を侵害するために、MoustachedBouncerのオペレーターは被害者のインターネットアクセスを改ざんし、Windowsにキャプティブポータルの背後にいると誤認させます。MoustachedBouncerが標的とするIPレンジでは、ネットワークトラフィックが一見正規に見えるものの偽のWindows Updateページへリダイレクトされます」とFaouは述べた。
「このAitMのシナリオは、TurlaやStrongPityといった脅威アクターが、ISPレベルでソフトウェアインストーラーをオンザフライでトロイの木馬化した事例を想起させます。」
主要な緩和策は、フルトンネルの仮想プライベートネットワーク(VPN)を使用することである。
ESETは、DiscoがAitM攻撃と併用される一方、NightClubは、エンドツーエンドで暗号化されたVPNの使用などによりインターネットトラフィックがベラルーシ外へルーティングされ、ISPレベルでのトラフィック傍受が不可能な被害者に対して使用されると考えている。
少なくとも5つの大使館が標的に
同社のテレメトリによれば、このグループはベラルーシ国内の外国大使館を標的としている。ESETは、少なくとも5か国の大使館職員が標的となったことを特定しており、内訳には欧州から2か国、南アジアから1か国、アフリカから1か国が含まれる。
ESETはMoustachedBouncerを独立したグループとして追跡しているが、Faouは、このグループが別の活動中の諜報グループ「Winter Vivern」と「弱い結びつき」を持ち、協力している可能性を示す要素を見つけたと述べた。Winter Vivernは2023年に、ポーランドやウクライナを含む複数の欧州諸国の政府職員を標的にしている。
「TTPやツールセットは大きく異なりますが、C&Cインフラの特徴にいくつか共通点があります」とFaouは説明した。
MoustachedBouncerがこれまでにどのような情報を収集してきたかは明らかではないが、FaouはInfosecurityに対し、長期間にわたり目立たずに諜報キャンペーンを成功させてきたことは、同グループが比較的潤沢なリソースを有している可能性を示すと語った。
「AITM攻撃のスキームもかなり高度です」と彼は付け加えた。
「最も重要な教訓は、インターネットを信頼できない外国にある組織は、あらゆるネットワーク検査装置を回避するため、すべてのインターネットトラフィックについて、信頼できる場所へのエンドツーエンドで暗号化されたVPNトンネルを使用すべきだということです。また、最高品質で最新のコンピュータセキュリティソフトウェアを使用すべきです。」
ESETは、標的となった大使館がベラルーシ当局に連絡を取ったかどうか、また当局がMoustachedBouncerに関する同社の調査を認識しているかどうかを把握していない。
翻訳元: https://www.infosecurity-magazine.com/news/cyberthreat-moustachedbouncer-eset/
