カスペルスキー、クラウドインフラを利用した東欧の製造系企業への攻撃を発見した調査結果を報告
- 2023/09/07 10:30
- SecurityInsight
カスペルスキーは9月5日、2022年に発生した東欧の複数の製造系企業を標的としたサイバー攻撃に関する調査レポートを発表した。調査の結果、攻撃者は非常に高度な戦術、技術、手順(TTPs)を採用、クラウドインフラも利用していたことが明らかになった。その概要は以下のとおり。
攻撃の第1ステージではリモートアクセスと初期データ収集のためのマルウェアインプラントが使われ、第2ステージではネットワークから隔離されたエアギャップ環境のシステムからデータを抽出するための高度なマルウェアが使用されていた。最終ステージでは抽出したファイルをDropboxにアップロードしている。この攻撃では、東欧の複数の製造系の企業、産業用制御システム(ICS)のエンジニアリング企業などが攻撃の対象として影響を受けている。
これらの攻撃活動は、過去に同社が調査した攻撃活動「ExCone」と「DexCone」と酷似しており、サイバー攻撃グループ「APT31(別名: Judgment Panda、Zirconium)」の関与が高いと見ている。
この調査では、リモートアクセス用として設計された高度なマルウェアインプラントの使用と、セキュリティ対策を回避するために攻撃者が持つ幅広い知識と専門性が明らかに。これらのインプラントは、高度なセキュリティで保護されたシステムも含む、データ抽出のための永続的なリモートアクセス用チャネルの確立を可能にしていた。
注目すべきは、攻撃者は三つの攻撃ステージで複数のインプラントを実行する際に、DLLハイジャックの手法を広範に使用して検知の回避を試みていたこと。DLLハイジャックは、脆弱性を持つサードパーティの正規の実行可能ファイルを悪用し、不正なDLLをメモリーに読み込ませて感染を試みる。
データの抽出と後続のマルウェアの配布には、DropboxやYandex Diskなどのクラウドベースのデータストレージサービスや一時的なファイル共有プラットフォームが使用されていた。また、指令サーバーをYandex Cloudおよび一般的な仮想プライベートサーバー(VPS)上に展開し、侵害したネットワークの制御を維持していた。これらの調査結果は、攻撃者がデータ抽出においても複雑な技術を有していることを示している。