BlueDeltaはAPT28の別名です。
いろいろな名前で呼ばれています。
Fancy Bear、Pawn Storm、Sofacy Group、Sednit、BlueDelta、STRONTIUM、これらは全部同じAPTを指すものとして使われています。
このBlueDeltaの展開する攻撃キャンペーンの内容が解析されています。
どのような攻撃なのでしょうか。
- ターゲット
ヨーロッパ全土のネットワークがターゲットになっている兆候が確認されています。
いくつもの国や地域がターゲットとなっていますが、特に多く観測されているのはウクライナでした。
その活動量は、実に観測データの40%を占めていました。 - 使用されるマルウェア
インフォスティーラー型マルウェアであるHeadlaceが使用されます。
認証情報収集のためのWebページも組み合わせて使用されます。 - 攻撃対象選択機構
このキャンペーンでは、攻撃が開始される前に、多段階の対象選択のための判定が行われます。
サンドボックスで動作しているかを確認する、攻撃対象のオペレーティングシステムであるかを確認する、ターゲットの国の機器であるかを確認する、といった具合です。
これらの条件に適合しないことが分かった場合、攻撃の流れは無害なファイルをダウンロードしてmsn.comを表示して終わるようになっています。
逆に、すべての条件に適合する場合、攻撃が開始されます。 - 攻撃開始後の流れ
悪意のあるWindows BATスクリプトをダウンロードし、サンドボックスをチェックし、地域情報をチェックし、シェルコマンドを実行します。
これを300秒毎にループして実行します。 - 認証情報収集
活動の目的の中に、認証情報の収集が含まれています。
加工されたWebコンテンツをターゲットに読み込ませることで、認証情報を収集します。
その機構には、2要素認証やCAPTCHAチャレンジを中継して回避できる高度な機能が含まれています。
マルウェアを使った攻撃キャンペーンには金銭目的のものも多くありますが、この攻撃キャンペーンはそういった方向とは別の国際政治に関連する方向のものと考えられます。
攻撃側のシステムの巧妙化は、どんどん進んでいきます。
対応するためにはシステム的な防御だけでなく、人の部分も重要になってくると認識することが必要ということに思えます。
GRU’s BlueDelta Targets Key Networks in Europe with Multi-Phase Espionage Campaigns
https://www.recordedfuture.com/grus-bluedelta-targets-key-networks-in-europe-with-multi-phase-espionage-camp
| この記事をシェア |
|
|---|
