ロシア系APTグループ「Star Blizzard」がDarkSword iOS搾取キットを採用

ロシア政府系ハッキンググループ「Star Blizzard」が進行中のキャンペーンでDarkSword iOS搾取キットを採用したとProofpointが報告しています。

金曜日、調査プラットフォームMalforsは、ロシアの脅威アクターがAtlantic Councilを装ったおとりを使用したメールキャンペーンでDarkSword関連のGhostBladeマルウェアを配信していると警告しました。

その直後、Proofpointはこのキャンペーンを属性付けしました。Star Blizzardはロシア情報機関FSBに関連するAPTで、Callisto、ColdRiver、SeaBorgium、TA446としても追跡されています。

サイバーセキュリティ企業によると、メッセージは3月26日に観察され、複数の侵害された送信者アドレスから発信されました。

Proofpointによると、過去2週間でStar Blizzardは通常の運用ペースと比較して悪意のあるメールの量を大幅に増加させたとのことです。

3月26日のアクティビティは同様の量の急増を示し、攻撃の手口にもう一つのシフトが見られました。メールは悪意のある添付ファイルではなくリンクを含んでいました。

「Proofpointの自動分析は無害なデコイPDFにリダイレクトされました。おそらくサーバー側のフィルタリングによってiPhoneブラウザのみを搾取キットにリダイレクトするためです。」とサイバーセキュリティ企業は述べています。

また、同社はStar BlizzardがDarkSword iOS搾取キットを兵器庫に追加したことを示す証拠を発見したと述べており、このAPTがiCloudアカウントとAppleデバイスをターゲットにするのが初めてであることを指摘しています。

Proofpointが述べるように、その証拠にはVirusTotalにアップロードされたDarkSwordローダーが含まれており、これはハッキンググループに関連する第2段階のドメインを参照しており、また@URLScanでの投稿は搾取の使用を示しています。

既知のStar Blizzardドメインは「DarkSword搾取キットを提供していました。初期リダイレクター、搾取ローダー、RCE、およびPACバイパスコンポーネントを含みます。サンドボックスエスケープは観察されませんでした。」とProofpointは述べています。

サイバーセキュリティ企業は搾取キットの配信を観察していませんが、誰かがGitHubで流出させた後、ロシアのAPTが認証情報の採集と情報収集のためにそれを採用したと信じています。

Atlantic Council関連のキャンペーンは金融機関、政府機関、高等教育機関、法律事務所、およびシンクタンクをターゲットにしており、「この新しい機能によってTA446がより広いターゲットセットに対してDarkSwordを機会主義的に使用しようと試みるようになったことを示唆しています。」とProofpointは述べています。