🛡 概要
ロシアの国家支援APTグループであるStar Blizzardが、新たなバックドアを攻撃に使用していることが確認されました。これは、2023年6月に公開されたLostKeysマルウェアに関する報告書の後に発生したもので、Googleによって明らかにされました。Star Blizzardは、CallistoやColdRiver、Seaborgium、UNC4057としても知られ、2019年から活動しており、米国によってロシア連邦保安庁(FSB)に関連付けられています。新たに使用されているマルウェアは、NoRobotと呼ばれ、VictimのDLLを悪用して次のペイロードを取得するように設計されています。
🔍 技術詳細
Star Blizzardは、以前のLostKeysマルウェアを使用していた攻撃手法を改変し、ClickFix技術を用いて新しいマルウェアファミリーを展開しています。具体的には、PowerShellスクリプトを利用した最初の感染チェーンを放棄し、victimに悪意のあるDLLを実行させる形に変更しました。NoRobotは、次の段階のペイロードを取得するために設計されており、さらにMaybeRobotと呼ばれる新しいバックドアを介して展開されます。MaybeRobotは、オペレーターによって提供される3つのコマンドをサポートし、ファイルやコマンドを実行することが可能です。
⚠ 影響
この新しい攻撃手法は、特にロシア国内の市民社会やシンクタンクをターゲットにしており、被害者を情報リソースに見せかけたページに誘導することによって感染を促進しています。NoRobotやMaybeRobotの導入により、APTはより高い柔軟性を持ち、複雑な操作を実行するためには依然としてオペレーターを必要とします。また、基本的な回避技術を実装し、インフラの回転やファイル名の変更を行うことで、検出を回避する能力も向上しています。これにより、APTの活動はさらに脅威を増しています。
🛠 対策
組織は、Star BlizzardのようなAPTからの攻撃を防ぐために、最新のセキュリティ対策を実施する必要があります。具体的には、マルウェア検出ソリューションの強化、ユーザー教育の実施、疑わしいリンクやファイルの実行を避けることが重要です。また、ネットワークの監視を行い、異常な活動を早期に検出する体制を整えることも必須です。さらに、ソフトウェアの定期的な更新とパッチ適用を行うことで、脆弱性を悪用されるリスクを低減させることができます。
