トロイの木馬化されたWindows 10 OSインストーラーがウクライナ政府を攻撃

本メディアアラートは20221215日に公開されたブログTrojanized Windows 10 Operating System Installers Targeted Ukrainian Governmentの日本語抄訳版です。

概要

  • Mandiantは、トロイの木馬化されたWindows 10のOSのインストーラーを介して行われる、ウクライナ政府に焦点を当てた攻撃活動を確認しました。これらは、サプライチェーン攻撃として、トレントサイトを通じて配布されました。
  • UNC4166として追跡されている脅威活動は、悪意のあるWindows OSのインストーラーをトロイの木馬化して配布していると見られ、一部の被害組織に対して偵察活動を行い、追加機能を展開してデータ窃盗を行うマルウェアを投下しています。
  • トロイの木馬化されたファイルは、ウクライナ語の言語パックを使用し、ウクライナのユーザーを対象として設計されています。追跡調査の対象には、ウクライナの複数の政府機関も含まれています。
  • 現時点では、MandiantはUNC4166を支援する組織やこれまでに追跡したグループと関連付けるのに十分な情報を持っていません。しかし、UNC4166のターゲットは、戦争初期にワイパーを使ったGRUに関連する攻撃クラスターがターゲットにした組織と重なっています。

脅威の詳細

Mandiantは、正規のWindows 10 OSインストーラーを装うトロイの木馬化されたISOファイルを利用する、ウクライナの政府機関に焦点を当てたソーシャル・エンジニアリングサプライチェーン攻撃活動を発見しました。トロイの木馬化されたISOは、ウクライナ語やロシア語のトレントファイル共有サイトでホストされていました。トロイの木馬化されたソフトウェアをインストールすると、マルウェアは感染したシステムに関する情報を収集し、その情報を流出させます。被害組織の一部では、さらなる情報収集を可能にする追加ツールが展開されています。いくつかのケースでは、STOWAWAY、BEACON、SPAREPARTバックドアなど、最初の偵察の後に展開されたと思われる追加のペイロードが発見されました。

  • トロイの木馬化されたIOSの一つ “Win10_21H2_Ukrainian_x64.iso” (MD5: b7a0cd867ae0cbaf0f3f874b26d3f4a4) はウクライナ語パッケージを使用し、「https://toloka [.]to/t657016#1873175 」からダウンロードすることができました。Tolokaのサイトはウクライナの閲覧者に焦点を合わせており、画像はウクライナ語を使用しています(図1)。
  • 同じISOが、同じ画像を使用してロシアのトレントトラッカー(https://rutracker[.]net/forum/viewtopic.php?t=6271208)でホストされていることが確認されています。
  • このISOには悪意のあるスケジュールタスクが含まれており、2022年7月中旬頃から3つの異なるウクライナの組織の複数のシステムで.onion TORドメインへのビーコンが変更・確認されています。

1: Win10_21H2_Ukrainian_x64.iso (MD5: b7a0cd867ae0cbaf0f3f874b26d3f4a4)

アトリビューションとターゲット

Mandiant は、この脅威活動グループを UNC4166 として追跡しています。この活動は、使用されている言語パックと配布に使用されたWebサイトから、ウクライナのエンティティをターゲットにしたものであると思われます。トロイの木馬化したISOの使用は、スパイ活動においては斬新であり、また、耐検知機能が含まれていることから、この活動の背後にいる攻撃者は、セキュリティへの意識が高く、我慢強さを備えていることがわかります。

Mandiantは、これまでに追跡された活動へのリンクを発見していませんが、この活動の背後にいる攻撃者は、ウクライナ政府から情報を盗むことを目的としていると考えています。

  • UNC4166が継続的な活動を行った組織には、ウクライナ侵攻の発生以来、APT28によるものと関連付けられる破壊的ワイパー攻撃の歴史的な被害組織も含まれていました。
  • このISOは、2022年5月11日に作成されたアカウント「Isomaker」によって、toloka.toというウクライナのトレントトラッカーでホストされたものです。
  • このISOは、Windowsコンピュータがマイクロソフトに送信する典型的なセキュリティ・テレメトリーを無効化し、自動更新とライセンス認証をブロックするようにコンフィグレーションされていました。
  • また、この侵入の背景には、収益化可能な情報の窃取、ランサムウェアやクリプトマイナーの展開のいずれにおいても、金銭的な動機は見受けられませんでした。

展望と考察

サプライチェーン攻撃は、NotPetyaのように広範囲にアクセスするために利用されることもあれば、SolarWindsのように価値の高いターゲットを慎重に選択するために行われることもあります。これらの作戦は、攻撃者がハードターゲットに接近し、紛争地域内にとどまらない大規模な破壊的攻撃を実行する明確な機会を示しています。

サプライチェーンの安全性に関するGoogle Cloudの研究については、このPerspectives on Security reportのレポートをご覧ください。

 

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください