APT28 (BlueDelta, Fancy Bear, Forest Blizzard, Iron Twilight, Pawn Storm, Sednit, Sofacy, Strontium, TAG-75, Tsar Team)について

2024.02.21

 ここでは、ロシアが背後にいるとされている脅威アクターの「APT28 (BlueDelta, Fancy Bear, Forest Blizzard, Iron Twilight, Pawn Storm, Sednit, Sofacy, Strontium, TAG-75, Tsar Team, GTsSS)」について、2024年時点で判明していること等をまとめます。

APT28(BlueDelta)について

 APT28(BlueDelta, Fancy Bear, Forest Blizzard, Iron Twilight, Pawn Storm, Sednit, Sofacy, Strontium, TAG-75, Tsar Team, GTsSS)は、ロシアが背後にいるとされている、高度なスキルを持つ脅威アクターです。英国国家サイバーセキュリティセンター (NCSC)・米国家安全保障局 (NSA)・米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局 (CISA)・米国連邦捜査局 (FBI)が共同で出した勧告によると、APT28は「ロシア軍参謀本部情報総局(GRU)第85特別サービスセンター(GTsSS)軍事情報部隊26165」と推測されています。

 FireEye(Mandiant)「APT28: AT THE CENTER OF THE STORM」及びFireEye(Mandiant)「APT28: A WINDOW INTO RUSSIA’S CYBER ESPIONAGE OPERATIONS?」によると、APT28の活動は2007年頃にまで遡れると考えられています。下図はAPT28が使用していたマルウェアをFireEyeが解析したものですが、2007年冬にコンパイルされたものが存在しています。ちなみにコンパイルされた時間も、モスクワの営業時間(モスクワ時間の08:00-18:00)に集中しています。

APT28が使用していたマルウェアのコンパイルされた年月日 (FireEye(Mandiant)「APT28: A WINDOW INTO RUSSIA’S CYBER ESPIONAGE OPERATIONS?」より引用)
APT28が使用していたマルウェアのコンパイルされた時間帯 (FireEye(Mandiant)「APT28: A WINDOW INTO RUSSIA’S CYBER ESPIONAGE OPERATIONS?」より引用)。モスクワの労働時間帯と一致する。

この様にマルウェア作成のフレームワークが2007年ごろから存在しているように見えることから、このグループは2007 年の初めから組織的な開発活動を行ってきたと思われます。

 APT28は歴史的に防衛と地政学的問題に関する情報を収集してきました。 APT28のスパイ活動は主に米国、欧州、旧ソ連諸国の政府や軍、国防駐在官、報道機関、現ロシア政府に反対する反体制派や人物などの組織を標的にしてきています。これまでに、シリア紛争、NATOとウクライナの関係、欧州連合の難民・移民危機、2016年のオリンピック・パラリンピックのロシア選手のドーピングスキャンダル、ロシア国家支援によるハッキングに関する国民の告発、2016年の米国大統領選挙などがAPT28が行ってきたと思われる活動となります。

 APT28のターゲット(おそらくロシア政府のターゲット)の多くは概ね一致しており、2014年前後は東ヨーロッパに興味を持っていた様です。コーカサス地方のジョージア(グルジア)政府、東ヨーロッパの政府と軍隊、特定の治安組織の3つが主なターゲットになっていました。

下記にAPT28の主な活動を挙げています。

  1. 2008年。ロシアのジョージア(グルジア)侵攻に伴うサイバー攻撃。APT28はジョージアの内務省と国防省に勤務する職員を標的にして、ジョージアの安全保障と政治に関する情報を収集しようとしていたと考えられます。
  2. 2010年には、トルコの国防武官専門組織「アンカラ武官隊(AMAC)」の連絡先情報リストを囮として使用していました。
  3. 2011年近辺。APT28 はグルジア語で書かれたルアーを使用したスピアフィッシング攻撃を行っており、おそらくグルジアの政府機関や国民をタ ーゲットにすることを目的としています。APT28はおそらくジョージアの安全保障と外交姿勢に関する情報を求めており、グルジア内務省(MIA)と国防省(MOD)を標的にしていました。
  4. 2012年にはヨーロッパ諸国で活動する駐在員に、英国将校および米国・カナダの武官リストを記載した囮文書を送っていました。
  5. 2013年後半、コーカサスの問題に取り組むジャーナリストを標的にしたスピアフィッシング攻撃を仕掛けました。「Reason Magazine(米国に拠点を置く雑誌)の中に存在しない部門「白人問題部門」のチーフコーディネーターから来た手紙」で、個人を寄稿者として歓迎するという「囮」を使用しました。囮の文書はバックグラウンドで、被害者のシステムにSOURFACEバックドアをインストールしていました。
  6. 2013年後半のインシデントでは、東ヨーロッパ外務省に配備されたFireEyeのデバイスがクライアントのネットワークでAPT28のマルウェアを検出しました。
  7. 2014年6月・9月に、ポーランド政府のWeb サイトとポーランドのエネルギー会社Power ExchangeのWebサイトに「Sofacy」 マルウェアを配信しました。
  8. 2014年8月には、ポーランド政府を対象とした攻撃で、ウクライナで撃墜されたマレーシア航空便をめぐる敵対行為に関するお取り文書を使用したスピアフィッシング攻撃を実施しました。
  9. 2014年9月〜2015年9月まで、キルギス外務省の権威DNS サーバーのDNS レコードを悪意を持って変更した後に、キルギス外務省と送受信するメールを傍受していたと考えられます(FireEyeの調査)。
  10. 2015年6月、ドイツ連邦議会のネットワークが侵害されました。連邦議会 (BfV) の長官によると、この攻撃はAPT28の可能性が高いとされています。
  11. 2015年7月、APT28は2つのドメイン (nato‑news.comとbbc‑news.org) を使用して Adobe Flashの脆弱性を悪用し、NATO・アフガニスタン外務省・パキスタン軍を標的にしました。
  12. 2016年4月〜5月、ドイツキリスト教民主同盟(Christlich-Demokratische Union Deutschlands: CDU)にフィッシング攻撃を仕掛けようとしている事がトレンドマイクロ社の分析により明らかになりました。
  13. 2016年9月、World Anti-Doping Agency (WADA: 反ドーピング機関)に対してAPT28がネットワークを侵害し、アスリートの医療データにアクセスしました
  14. 2016年11月、欧州安保協力機構(OSCE)がAPT28による侵入を受けたことを認めました。
  15. 2016年米国大統領選挙に関連した、米国民主党のシステムへのサイバー攻撃「GRIZZLY STEPPE」の背後で活動していたと思われます。
  16. 2018年、ソールズベリー毒殺事件の後、化学兵器禁止機関(OPCW:化学兵器禁止条約に基づき、1997年に設立された国際機関)への攻撃を行いましたが未遂に終わりました。
  17. 2021年〜2023年4月、APT28がCiscoのメンテされていないルータにアクセスし、SNMPサブシステムのリモートコード実行脆弱性(CVE-2017-6742)を悪用してCiscoルータにマルウェアを導入していました。この際に標的としたのは、ヨーロッパに拠点を置く人々・米国政府機関・約250人のウクライナ人でした。こちらに関しては、2023年4月にCISAがアドバイザリを出しました
  18. 2022年4月〜2023年11月にかけて、APT28が軍・政府・防衛産業・エ​​ネルギ・運輸部門にNTLMv2 ハッシュ リレー攻撃実施していました
  19. 2023年11月29日〜12月11日まで、ヨーロッパのさまざまな政府に対して認証情報フィッシング キャンペーンを行っていました。
  20. 2024年2月15日、米国司法省・FBIにより「Moobot」として知られるボットネットが破壊されました。

米国司法省・FBIにより「Moobot」が破壊される

 順番が前後しますが、直近の動きとして出しておきます。米国司法省・FBIが「APT28(GRU26165)が管理するボットネット(Moobot)を破壊したというプレスリリースが入っています。

 このプレスリリースによると、このボットネット「Moobot」はAPT28が直接作成したものではなく、既に犯罪で使われていたボットネットの様です。

 米国司法長官は、「司法省は、米国およびウクライナを含む同盟国に対するロシア政府のサイバー攻撃を阻止する取り組みを加速している」と述べています。

ジョージア(グルジア)内務省 (MIA)及び国防省(MOD)を標的とした攻撃

 MIAには、ジョージア(グルジア)国の治安活動・多国間機関への関与、政府の通信バックボーンに関する機密情報が保管されており、担当は下記となっています。

  • 警察、国内治安、国境警備
  • 防諜
  • テロ対策
  • 国際関係
  • ジョージアの戦略施設の防衛と資産
  • 「運用技術」戦略

2011年頃、APT28はMIAを標的に少なくとも2回の攻撃を行いました。いずれもルアー(囮)を使ったスピアフィッシング攻撃になります。

  1. 「グルジアの運転免許証番号のリストを含むおとり文書を提示する武器化されたExcel ファイル」がマルウェアになっていました。このマルウェアが起動するとシステム偵察情報を含むファイルを送付していました。
  2. 下図の様な囮文書を使用していました。囮文書には、会社名として「MIA」、作成者として「Beka Nozadze」をリストするメタデータも含まれていました。
FireEye社が確認した囮文書(FireEye「APT28: A WINDOW INTO RUSSIA’S CYBER ESPIONAGE OPERATIONS?」より引用)

APT28はまた、ジョージア国防省(MOD)も標的にしていたと思われます。 APT28は、SOURFACEダウンローダー (マルウェアのダウンローダー) をインストールし、ジョージア国防省(MOD)と米国請負業者間の作業グループメンバーの誕生日リストを含む囮文書を使用しました。 米国請負業者は、防衛省(MOD)とジョージア軍に助言し、ジョージアの軍事訓練プログラムを開発していました。

2016年米国大統領選挙での民主党へのサイバー攻撃

こちらに関しては、APT29の記事に詳しい情報を記載しています。APT28もAPT29と同様にサイバー攻撃に関与していました。

2018年化学兵器禁止機関(OPCW)へのハッキング未遂事件

 2018年10月4日、ピーター・ウィルソン駐オランダ英国大使はGRUによるOPCWへのハッキング未遂に関して声明を発表しました。この声明によるとソールズベリー毒殺事件の後

  • 2018年3月、GRU はスピア フィッシング攻撃を通じて英国外務連邦省のコンピュータ システムを侵害しようとしました。
  • 2018年4月、GRU侵入は英国国防科学技術研究所と化学兵器禁止機関の両方のコンピュータを標的とした攻撃を行いました。
  • 2018年5月には、GRUハッカーがスイス連邦当局になりすましてOPCW職員、ひいてはOPCWコンピュータシステムを直接標的とするスピアフィッシングメールを送信しました。

2023年にアドバイザリが出された、Ciscoの脆弱性を用いた攻撃

 2021年、APT28は世界中のCisco ルーターへのSNMPアクセスを偽装しました。標的となったのは、ヨーロッパの人々・米国政府機関・約250人のウクライナ人でした。この際に、APT28はCVE-2017-6742(Ciscoのリモートコード実行脆弱性)を悪用しています。

  • CVE-2017-6742
    • CVSS Base
      • Score: 8.8 High
      • Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • 認証されたリモートの攻撃者が特別に細工したSNMPパケットを送ることで、リモートからコードを実行することが出来る可能性があります。

この脆弱性は2017年6月29日にCiscoがパッチと共に公開したものでしたが、このパッチを未適用のユーザがAPT28に攻撃されていました。APT28は「Jaguar Tooth」と呼ばれるマルウェアを用いて攻撃を行っていた様です。以下、「Jaguar Tooth」のTTPになります。

TacticIDTechniqueProcedure
Defense Evasion(防御回避)T1556認証プロセスの改変Jaguar Toothは、パスワードをチェックせずにTelnetおよび物理セッションでのアクセスを許可する2つの認証機能にパッチを適用します。
T1601.001システムイメージの変更:
システムイメージへのパッチ適用		Jaguar Tooth は、メモリ内のシステムイメージにパッチを適用して、ユーザー認証のバイパスを有効にします。
Initial Access(初期アクセス)T1190外部公開されたアプリケーションへの攻撃Jaguar Tooth は、リモートコード実行とターゲットのOSへの書き込みアクセスを許可する SNMP エクスプロイトを介して展開されます。
Exfiltration(窃盗)T1048.003代理プロトコルを介しての窃盗:
暗号化されていない非C2プロトコルを介しての窃盗		Jaguar Toothは、収集したデバイス情報を TFTP 経由で抽出します。
T1020自動化された窃盗Jaguar Toothには、自動的に実行され、結果をTFTP 経由で抽出する Cisco IOS CLI および Tcl コマンドが含まれています。
Collection(収集)T1119自動化された収集Jaguar Toothには、自動的に実行され、結果をTFTP 経由で抽出する Cisco IOS CLIおよび Tcl コマンドが含まれています。
T1602.002設定レポジトリからのデータ:ネットワークデバイス設定のダンプJaguar Toothは、Cisco IOS CLIコマンドを利用して、現在のデバイスの設定をダンプします。
Discovery(検出)T1018リモートシステムの検出Jaguar Tooth は、Cisco IOS CLIコマンドを利用してリモートシステム検出を実行し、ARPおよび接続されたデバイスの情報を取得します。
T1083ファイルとディレクトリの検出Jaguar Tooth は、Cisco IOS CLI コマンドを利用してローカルフラッシュファイルシステムを列挙します。
T1016システムネットワーク構成の検出Jaguar Tooth は、いくつかの Cisco IOS CLI コマンドを利用して、システムネットワーク構成を検出します。
T1082システム情報の検出Jaguar Tooth は、いくつかのCisco IOS CLIコマンドを利用して、インターフェイス情報やソフトウェアのバージョンなどのシステム情報を検出します。

IoC等詳しい情報は、GOV.UKの「Jaguar Tooth」を確認してください。

2022年4月〜2023年11月に掛けて行ったハッシュリレー攻撃とWinRAR脆弱性を悪用した攻撃

 APT28は2022年4月〜2023年11月にかけて、ヨーロッパ/北アメリカ/南アメリカ/アジア/アフリカ/中東等を標的として、軍・政府・防衛産業・エ​​ネルギ・運輸部門にNTLMv2 ハッシュ リレー攻撃を実施していました。

  • NTLMv2ハッシュリレー攻撃
    • 攻撃者はNTLM(Windows環境で過去に使われていたプロトコル)でのサーバー・クライアント間のチャレンジレスポンスを盗み出し、本来のクライアントに代わって認証を取得します(中間者攻撃の一種)。

この際に悪用された脆弱性は、Outlookの脆弱性(CVE-2023-23397)になります。

  • CVE-2023-23397
    • CVSS
      • Base Score: 9.8 Critical
      • Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • CVE-2023-23397 は、Microsoft Outlook の重大な特権昇格(Elevation of Priviledge: EoP)脆弱性です。脅威アクターは、細工したメール(制御するサーバー上のSMB(TCP 445) 共有へのUNCパスを含む拡張MAPIプロパティを含むメール)を送信する事によって攻撃が可能です。この攻撃では、メールの閲覧などのユーザーによる操作は必要ありません。攻撃者は、リモートのSMB サーバーへの接続を使用してユーザーの NTLM ネゴシエーションメッセージを送信し、更にこれを中継して、NTLM 認証をサポートする他のシステムに対する認証を行うことができます。

Microsoft社の「Guidance for investigating attacks using CVE-2023-23397」によると、APT28(Forest Blizzard, STRONTIUM)が、この脆弱性を悪用した攻撃を行っているとのことです。

脅威アクター(APT28)はCVE-2023-23397を悪用してExchange Server への不正アクセスを取得し、メールボックス フォルダーのアクセス許可を変更していた(Microsoft「Guidance for investigating attacks using CVE-2023-23397」より引用)
ターゲット地域
ヨーロッパ、南米
中央銀行中東
市議会アジア、ヨーロッパ、中東、北米、アフリカ
防衛産業ヨーロッパ、北アメリカ、南アメリカ
航空宇宙産業ヨーロッパ
電力当局ヨーロッパ、中東
エネルギー部門ヨーロッパ
知的財産権当局中東
農業省ヨーロッパ、南米
エネルギー省ヨーロッパ
環境省ヨーロッパ
財務省ヨーロッパ、南アメリカ
外務省ヨーロッパ、中東、アジア
内政部ヨーロッパ
労働省ヨーロッパ、アジア
国家安全保障省ヨーロッパ
社会問題省ヨーロッパ、中東
運輸省ヨーロッパ
議会ヨーロッパ
郵便ヨーロッパ
学校ヨーロッパ
州政府北米
トレンドマイクロによる最近のキャンペーンにおけるAPT28のターゲット(TrendMicro「Pawn Storm Uses Brute Force and Stealth Against High-Value Targets」より引用)

イスラエル・ハマス戦争に関連した囮を使う、WinRAR脆弱性(CVE-2023-38831)を悪用したスピアフィッシング攻撃

それに加えて、APT28は最近ではイスラエル・ハマス戦争に関連した文書を囮としたスピアフィッシング作戦の中でWinRARの脆弱性(CVE 2023-38831)も悪用しているとのことです。

  • CVE 2023-38831
    • CVSS
      • Base Score: 7.8 High
      • Vector: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
    • RARLAB WinRAR 6.23 より前では、ユーザーが ZIPアーカイブ内の無害なファイルを表示しようとする事をトリガーとして、攻撃者が任意のコードを実行出来る可能性があります。 この問題は、ZIP アーカイブに無害なファイル (通常の .JPG ファイルなど) と無害なファイルと同じ名前のフォルダーが含まれている場合にフォルダーの内容(実際には実行可能なコンテンツが含まれている) が処理されるために発生します。

この動きをIBM X-Forceが調査した所、このWinRARの脆弱性を悪用して「HeadLace」というマルウェア(カスタムバックドア)を拡散している様です。

 このキャンペーンの対象は

  • ハンガリー、トゥルキエ、オーストラリア、ポーランド、ベルギー、ウクライナ、ドイツ、アゼルバイジャン、サウジアラビア、カザフスタン、イタリア、ラトビア、ルーマニア

等となっています。このキャンペーンでは、

  • 国連・イスラエル銀行・米国議会調査局・欧州議会・ウクライナのシンクタンク・アゼルバイジャン/ベラルーシ政府間委員会に関連する文書

を活用した囮の文書が使用されています。

被害連鎖の例(CERT-UA「UAC-0050 ウクライナとポーランドに対する RemcosRAT/MeduzaStealer を使用した大規模サイバー攻撃 (CERT-UA#8218)」より引用)

その他、APT28が使っている脆弱性

他にも、Microsoftの調査によるとAPT28がよく使っている脆弱性として

等があります。

まとめ

 APT28も主に欧米諸国や東ヨーロッパを標的とした、ロシアが背後にいる諜報活動をメインとした脅威アクターです。今回活動を振り返ってみましたが、対ウクライナだけではなく、イスラエル・ハマス戦争あたりを囮にしたり、巧妙になると共に国際情勢にも積極的に関わっている脅威アクターになっています。今後、2024年11月の大統領選挙本番に向けて、更に活動が活発になる恐れがありますので、充分気をつけたいところです。

参考情報

脅威インテリジェンスセミナーの詳細情報はこちら!
セキュ塾の無料カウンセリングはこちら♪

この記事があなたのお役に立てればうれしく思います。

最後までお読みいただき、ありがとうございます。

関連記事:

米国司法省がALPHV/BlackCat Ransomwareグループ撲滅キャンペーン2023年に目立ったランサムウェアグループ Top10APT29 (BlueBravo, Cozer, Cozy Bear, Cozy Duke, CozyCar, EuroAPT, Midnight Blizzard, NOBELIUM, Office Monkeys, RUS2, The Dukes, UNC2452)についてVolt Typhoonについて