ロシアの攻撃者APT29はNSOなどのエクスプロイト使用の可能性──Google TAGが指摘
GoogleのTAGは、ロシアが支援するサイバー攻撃者「APT29」(Cozy Bear)が一連の攻撃で、NSOやIntellexaが作成したものと「同じか酷似した」エクスプロイトを使っていると指摘した。
米GoogleのThreat Analysis Group(TAG)は8月29日(現地時間)、ロシアが支援するサイバー攻撃者「APT29」(別名:Midnight Blizzard、NOBELIUM、UNC2452、Cozy Bear)が一連のサイバー攻撃で、NSO GroupやIntellexaなどの商用監視ツールベンダーが作成したものと「同じか酷似した」iOSおよびAndroidのエクスプロイトを使用していることを確認したと発表した。
この攻撃は、2023年11月から2024年7月にかけて行われたもので、TAGによると、攻撃に使われた「nデイ脆弱性」(ゼロデイ脆弱性と異なり、既知の脆弱性のこと)は既に修正されているが、アップデートされていないスマートフォンは影響を受けるという。
APT29は、モンゴル政府の複数のWebサイトを標的とする「水飲み場型攻撃」にエクスプロイトを採用した。水飲み場型攻撃とは、標的がよく訪れるWebサイトを侵害し、悪意あるコードを仕込むことで、標的に気づかれずにマルウェアなどを感染させる攻撃手法だ。
TAGは、APT29が使ったエクスプロイトは、商用監視ツールベンダーであるイスラエルNSO GroupやギリシャIntellexaなどが使っているものとほぼ同じだと指摘する。
APT29は、2023年11月にモンゴル政府のサイトを侵害してエクスプロイトを配信するiframeを潜ませた。これにより、iOS 16.6.1以前搭載のiPhoneユーザーからcookieを入手。2024年8月にはGoogleのChromeに影響を与えるエクスプロイトを悪用し、Androidユーザーも攻撃した。
これらのエクスプロイトはNSO GroupとIntellexaのみが把握しているもので、APT29が独自で作成した可能性は低いという。
TAGは、「APT29がこれらのエクスプロイトをどのように入手したかは不明だが、われわれの調査は、商用監視ベンダーが開発したものが危険な攻撃者に広まっていることを示している」と語った。「ユーザーと組織には、保護のためにパッチを迅速に適用し、ソフトウェアを完全に最新の状態に保つことを強く勧める」
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
米連邦政府、露Kaspersky製品を全面禁止 9月29日までに代替製品への移行が必要に
米商務省は、ロシアを拠点とするウイルス対策およびサイバーセキュリティ企業のKaspersky Labsの製品をよびサービスの米国での提供を全面的に禁止すると発表した。9月29日以降は現行ユーザーへのアップデートもされなくなる見込みだ。
ロシアのサイバー攻撃グループ、米国の水道事業侵害の犯行声明
ロシアの軍事諜報機関を関連があるとみられるハッキング集団Sandworm(別名BlackEnergy、Seashell Blizzard、Voodoo Bear)は、米国などの水道事業を侵害したとTelegramで主張した。Google傘下のMandiantはこのグループをAPT44とし、その活動を報告した。
Microsoft、ロシアが支援するNobeliumによる攻撃で社内メール盗難
Microsoftは、ごく一部の従業員のメールアカウントが侵害され、メールが盗まれたと発表した。同社がロシア国営攻撃者とするMidnight Blizzard(Nobelium、APT29、Cozu Bear)の攻撃としている。
「LAPSUS$」は「Strawberry Tempest」に──Microsoftの新脅威分名方式
Microsoftは脅威アクター(サイバー攻撃者)の命名法を従来の化学元素名から気象現象名に変更する。国や規模が分かりやすくなるとしている。たとえばNSO Group(DEV-0336)には「Night Tsunami」という新たな名前を付ける。