ロシア国家ハッカー集団APT28は、ウクライナの標的(軍事要員を含む)をスパイするための高度なサイバー諜報ツールキットを復活させた。これはサイバーセキュリティ企業ESETが火曜日に発表したレポートによるもの。
ESETは、このグループの高度な開発チームが2024年4月以降に再出現し、BeardShellとCovenantと呼ばれる2つのインプラントを中心に構築された新しい兵器庫を持っていると述べました。これらはしばしば諜報キャンペーンで一緒に展開されます。
APT28は、Fancy Bear、Sednit、Forest Blizzard、BlueDeltaとしても知られており、少なくとも2004年以来活動しています。米国司法省は以前、このグループをロシアのGRU軍事情報機関のユニット26165に関連付け、2016年の民主党全国委員会のハッキングを含む高注目のサイバー作戦の責任があると述べました。
2010年代を通じて、APT28はサイバー諜報のための幅広い高度なマルウェアツール(XagentやSedrecoなどの強力なバックドアを含む)を使用していました。ESETによると、2019年頃、このグループはアプローチを変更したようです。高度なマルウェアはほとんど野生で観察されず、ハッカーはより単純なツールを使用したフィッシングキャンペーンに依存していました。研究者によると、この変化の理由は不明なままです。
ESETによると、再開活動の最初の兆候の1つは2024年4月にCERT-UAがウクライナ政府のコンピュータ上でSlimAgentとして知られるスパイプログラムを発見したときに来ました。このマルウェアはキーストロークを記録し、スクリーンショットをキャプチャし、クリップボードデータを収集することができます。ESETはSlimAgentがXagentキーロガーモジュールの更新版のように見え、高い信頼度でAPT28に属性付けられると述べています。
研究者はまたBeardShellを特定しました。これはより高度なインプラントで、攻撃者が侵害されたマシン上でPowerShellコマンドを実行することができます。ESETによると、2024年の発見以来、BeardShellは2025年を通じて2026年まで諜報作戦に出現し続けており、主にウクライナ軍事要員の長期監視に使用されています。
被害者のシステムへの長期アクセスを維持するため、ハッカーはBeardShellを別のツールであるCovenantと一緒に展開することが多いです。Covenantは2019年に最初にリリースされたオープンソースのコマンド・アンド・コントロールフレームワークです。このフレームワークにより、攻撃者は被害者を監視し、データを盗み、ネットワークを通じて移動してさらなる標的に到達することができます。
ESETによると、APT28の開発者は最近Covenantを大幅に変更し、それを主要な諜報ツールとして位置付けているようです。BeardShellはメインのインフラが中断された場合のフォールバックとして機能します。
ESETによると、高度なカスタムマルウェアの再利用は、2022年のロシアのウクライナ侵攻に続いて激化した可能性があります。研究者は、別の可能な説明として、開発者は決して仕事を辞めなかったが、代わりにより慎重になったということだと述べています。
先月、研究者たちはAPT28による「高度な諜報キャンペーン」を発見しました。これはMicrosoft Office脆弱性を利用して、ウクライナ、ポーランド、スロベニア、トルコ、ギリシャ、アラブ首長国連邦を含む国の海事、運輸、外交機関を標的にしました。
このグループの活動はヨーロッパでも外交的紛争を引き起こしています。12月、ドイツはAPT28が空気交通管制当局へのサイバー攻撃を実施し、2024年の連邦選挙前に情報操作キャンペーンを実行したと非難した後、ロシアの大使を召喚しました。
前の記事なし
新しい記事なし
翻訳元: https://therecord.media/russia-apt-28-revives-malware-to-spy-on-ukraine
