3人のサイバーセキュリティ専門家が、外交大使館を標的とした大規模なハッキング作戦を発見した。ロシアのハッカーのグループは、これらの大使館の職員を装い、被害者をだまして電子メール内の悪意のある添付ファイルをダウンロードさせます。これが完了すると、マルウェアが PC に感染し、大量の機密データが回復されます。
近年、ロシアの海賊シーンが大きな注目を集めている。今日、この国のハッカーは世界で最も危険な存在の一つであり、時には劇的な影響をもたらす攻撃を通じて政府当局を攻撃することを躊躇しません。ウクライナ戦争が始まって以来、ウクライナは自分たちの実力を示してきた発電所をハッキングすることであるいは軍のFacebookアカウントを掌握することで。
本日、Mandiant 社の 3 人のサイバーセキュリティ専門家によって新たな作戦が発見されました。その背後にいるハッカーグループはAPT29と呼ばれており、ロシア政府の非公式支援から恩恵を受けているという特殊性を持っています。言い換えれば、これらの標的はロシアの政治的利益に従って選ばれるということだ。これが、APT29が現在大使館を攻撃している理由です。
ロシアのフィッシングキャンペーン、大使館や外交官を標的に
攻撃の最初の痕跡は2022年1月に遡る。マンディアント氏は、この作戦は数回の連続波を通じて少なくとも今年3月まで行われたと主張している。まず、ハッカーは公式大使館サイトに表示されている電子メールアドレスを乗っ取りました。このようにして、彼らは被害者の間で疑惑を引き起こさないようにしました。
それが完了すると、彼らは他の外交官や大使館職員をターゲットに、内部規定の変更を主張する電子メールを送信して注意を引きました。問題の電子メールには、画像または ISO ファイルである可能性のある添付ファイルが含まれています。実際には、このファイルには拡張子と偽のアイコンを使用して偽装した INK ファイル、つまり Windows ショートカットが含まれています。
INK ファイルを開くと、悪意のある DLL ファイルが実行されます。次に、DLL ファイルは、BEATDROP アプリケーションを使用して BOOMIC のダウンロードを開始します。BEATDROP アプリケーションは、コンピュータのメモリに直接起動され、企業内で非常に人気のあるオンライン ツール Trello に接続するマルウェアです。繰り返しますが、このツールを使用すると、ハッカーが気づかれないようにすることができます。さらに、これにより、標的となった外交官の協力者の他の電子メール アドレスを回復することが可能になります。
大使館のネットワークが侵入され、機密データが盗まれる
BOOMIC が起動すると、キーボード入力の取得、スクリーンショットの記録、プロキシ サーバーのインストールに至るまで、さまざまなタスクが実行されますが、アカウント資格情報の漏洩やポート分析などのさらに深刻なタスクも実行されます。最後に、このマルウェアは、他の悪意のあるコードやアプリケーションをダウンロードするために Windows レジストリを変更することができます。
同じテーマについて —ランサムウェア: ロシアのハッカーが 2021 年に身代金の 74% を手に入れた
APT29 ハッカーは 12 時間以内に、大使館ネットワーク内で最高ランクの特権を取得することに成功しました。これにより、とりわけ、Kerberos チケットを含むファイルを書き込む権限が与えられました。それ以降、彼らはネットワーク全体をスキャンして、他の被害者や BOOMIC の送信先となる電子メール アドレスを探します。
「SharedReality.dll の分析により、埋め込まれた BEACON ペイロードを復号化して実行する、Go 言語で書かれたメモリ専用ドロッパーであることが特定されました。 BEACON ペイロードは、SharedReality.dll の名前付きパイプを介して通信する SMB BEACON として識別されました。」とマンディアントはプレスリリースで述べた。
