Google、PDFで政府要人を狙うロシアの脅威グループ「COLDRIVER」の手口を報告:テキストを復号するユーティリティツールが、裏でバックドアを構築
Googleは、ロシアの脅威グループであるCOLDRIVERによる最新の手口を報告した。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Googleの脅威分析グループ(以下TAG)は2024年1月18日(米国時間)、ロシアの脅威グループであるCOLDRIVER(UNC4057、Star Blizzard、Callistoとしても知られる)による、NGO(Non-Governmental Organization)、元情報機関や軍の将校、NATO加盟国の政府要人に対するクレデンシャルフィッシング活動の新しい動きを報告した。
TAGは長年、ロシア政府の利益に沿ってスパイ活動をしているCOLDRIVERなどの取り組みに対抗し、脅威活動の分析と報告を続けてきた。
TAGによると、COLDRIVERはウクライナ、NATO諸国、学術機関、NGOに対してクレデンシャルフィッシング攻撃を繰り返している。標的からの信頼を得るため、COLDRIVERはなりすましアカウントを利用して特定分野の専門家であるかのように装ったり、標的の関係者を装ったりする。そして、ターゲットと信頼関係を築いてフィッシングキャンペーンの成功の確率を高めた後、最終的にフィッシングリンクやリンクを含む文書を送信する。
COLDRIVERは、検知回避能力を向上させるために、戦術/技術/手順(TTP)を進化させており、近年では認証情報を求めるフィッシングにとどまらず、PDFをおとり文書にして、マルウェアを配信している。TAGは判明した既知のドメインとハッシュをセーフブラウジングのブロックリストに追加することで、以下のような脅威活動を妨害してきた。
「PDF内の暗号化されたテキスト」をおとりに
TAGは、2022年11月の時点で、COLDRIVERがなりすましアカウントからPDFをターゲットに送信していることを確認している。COLDRIVERはこれらの文書を、なりすましアカウントが公開しようとしている新しい論説や他の関連記事として提示し、ターゲットからのフィードバックを求める。ユーザーがPDFを開くと、テキストが暗号化されて表示される。
ターゲットが「暗号化された文書を読むことができない」と答えると、COLDRIVERのなりすましアカウントは、クラウドストレージサイトにホストされている、ターゲットが使用するための復号ユーティリティー「SPICA」へのリンクを返信する。SPICAは、被害者を欺くために偽の解読作業を表示しつつ、被害者のPCにバックドアを構築するカスタムマルウェアだ。
バックドアを構築するSPICAの特徴
SPICAはRustで書かれており、コマンド&コントロール(C2)サーバとWebSocketを通じてJSONを送受信する。TAGによると、以下のようなコマンドをサポートしているという。
- 任意のシェルコマンドの実行
- Chrome、Firefox、Opera、Edgeからクッキーを盗む
- ファイルのアップロードとダウンロード
- ファイルシステムの内容をリストアップすることによるファイルシステムの熟読
- ドキュメントの列挙とアーカイブへの流出
- 「telegram」と呼ばれるコマンドもあるが、同コマンドの機能は不明
SPICAが起動されると、埋め込まれたPDFを復号し、それをディスクに書き込む。被害者に対しては、PDFを開く。次に、SPICAは被害者のシステムに持続的に存在するために必要な手順を踏む。この段階では難読化されたPowerShellコマンドが利用され、スケジュールされたタスクとして「CalendarChecker」という名前のタスクが作成される。
さらに、SPICAは、C2との通信を確立し、COLDRIVERが被害者のマシンに対して命令を送るのを待機する。
TAGは、暗号化されたPDFについて、4つの異なる亜種を観測した一方で、SPICAの単一のインスタンスしか取り出すことに成功していない。「Proton-decrypter.exe」と名付けられたこのサンプルは、C2アドレス「45.133.216[.]15:3000」を使用しており、2023年8月から9月にかけて活動していたという。
TAGは「SPICAのバックドアには複数のバージョンが存在する可能性があり、ターゲットに送信されるおとり文書と一致するように、それぞれ異なるおとり文書が埋め込まれる。SPICAは早ければ2023年9月から利用が始まっているが、COLDRIVERによるバックドアの使用は少なくとも2022年11月までさかのぼる」と述べている。
コミュニティーを保護する、TAGの取り組み
深刻な脅威と戦う取り組みの一環として、TAGはGoogle製品の安全性とセキュリティを向上させるためにTAGによる研究の成果を使用している。発見されたWebサイト、ドメイン、ファイルはセーフブラウジングに追加され、さらなる悪用からユーザーを保護している。またTAGは、標的とされた全てのGmailおよびWorkspaceユーザーに、活動を通知する政府支援の攻撃者アラートを送信し、潜在的な標的に対して、Chromeの拡張セーフブラウジングを有効にし、全てのデバイスがアップデートされていることを確認するよう促している。
関連記事
「ゼロトラスト」でなければランサムウェアギャングと戦えない理由――いま企業はハイブリッド戦争の前哨戦の渦中にある
2023年6月、ITmedia Security Week 2023 夏で、多摩大学 ルール形成戦略研究所 客員教授 西尾素己氏が「ゼロトラスト。バズワードと化した最重要課題を今一度紐解く。」と題して講演した。
Cisco、多要素認証のないVPNを狙うランサムウェア「Akira」を報告
Cisco Systemsは多要素認証が設定されていないVPNを標的にしたランサムウェア「Akira」を報告した。
GIGABYTE製マザーボードのファームウェア更新機能に中間者攻撃リスク 数百モデルに影響
サイバーセキュリティ企業のEclypsiumは、GIGABYTE製マザーボードのUEFIファームウェアやソフトウェアを更新する機能でバックドアに類似した仕組みが採用されており、サイバー攻撃に悪用される恐れがあることを明らかにした。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。