BadPilotは脅威キャンペーンにつけられた名称です。
APT44のサブグループが推進しているとされています。
APT44は、Sandworm、FROZENBARENTS、Seashell Blizzardなどと呼ばれることもあります。
APT44に限った話ではありませんが、大規模に展開するAPTは役割分担を持って活動しているケースが見られます。
今回の脅威キャンペーンに関連する組織は、APT44のなかで初期アクセスの部分に強いサブグループだと考えられます。
このサブグループは、機会主義的なアクセス手法とステルス型の永続性を活用して認証情報を収集し、コマンド実行を達成し、時には地域ネットワークの大幅な侵害につながる水平移動をサポートしています。
- 初期アクセス
このサブグループは、インターネットに接続されたインフラストラクチャのn-day 脆弱性の悪用、資格情報の盗難、サプライ チェーン攻撃など、複数の手法を使用してネットワークを侵害します。
最近の活動では、次のような脆弱性の悪用が確認されています。- CVE-2021-34473 (Microsoft Exchange)
- CVE-2022-41352 (Zimbra Collaboration Suite)
- CVE-2023-32315 (OpenFire)
- CVE-2023-42793 (JetBrains TeamCity)
- CVE-2023-23397 (Microsoft Outlook)
- CVE-2024-1709 (ConnectWise ScreenConnect)
- CVE-2023-48788 (Fortinet FortiClient EMS)
- 永続化
アクセスできる状態になると、脅威アクターは永続性確保のためにWebシェルを設置します。
LocalOliveなどが使用されます。 - 侵害環境での活動
その後脅威アクターは侵害環境の操作のための機構を設置します。
Atera AgentやSplashtop Remote Servicesなどの一般に利用されているリモート管理ツールを勝手に設置します。
そして次の段階のための認証情報を収集する、侵入環境の破壊を目的としたワイパー攻撃を実行するなどといった活動に至ります。
脅威アクターは侵入後に侵害環境内で横展開します。
横展開できた範囲には、システム管理者も含まれているかもしれません。
その場合、脅威アクターの自由になってしまう範囲には、DNS構成の操作、新しいサービスとスケジュールされたタスクの作成、固有の公開キーを使用したOpenSSHを使用したバックドアアクセスの構成などのように、インパクトの強い内容も含まれることになりそうです。
この脅威アクターの活動領域は非常に広いです。
エネルギー、石油・ガス、通信、海運、小売、教育、コンサルティングといった広い範囲をターゲットとしていて、武器製造分野の組織のネットワークへの侵入にも関係しています。
地域としても、米国、ヨーロッパ、中央アジア、南アジア、中東、ウクライナなどで活動しています。
どこか遠い場所での脅威のニュースではないと考えて向き合う必要があるということに思えます。
The BadPilot campaign: Seashell Blizzard subgroup conducts multiyear global access operation
https://www.microsoft.com/en-us/security/blog/2025/02/12/the-badpilot-campaign-seashell-blizzard-subgroup-conducts-multiyear-global-access-operation/
| この記事をシェア |
|
|---|
