Kasperskyは、2022年に発生した東欧の複数の製造系企業を標的としたサイバー攻撃に関する調査レポートを発表した。
調査の結果、攻撃者は高度な戦術、技術、手順(TTPs)を採用し、クラウドインフラも利用していたという。攻撃の第1ステージでは、リモートアクセスと初期データ収集のためのマルウェアインプラントが使われたとしている。第2ステージでは、ネットワークから隔離されたエアギャップ環境のシステムからデータを抽出するための高度なマルウェアが使用され、最終ステージでは、抽出したファイルがDropboxにアップロードされたという。この攻撃では、東欧の複数の製造系の企業、産業用制御システム(ICS)のエンジニアリング企業などが攻撃の対象として影響を受けているとのことだ。
Kasperskyのリサーチャーは、調査の過程でデータ抽出用の永続的なチャネルを確立することを目的とした一連の標的型攻撃を発見。これらは、過去に同社が調査した攻撃活動「ExCone」と「DexCone」と酷似しているという。同社は、サイバー攻撃グループ「APT31(別名:Judgment Panda、Zirconium)」が関与している可能性が高いとみている。
同社は注目すべきポイントとして、攻撃者が三つの攻撃ステージで複数のインプラントを実行する際に、DLL(ダイナミックリンクライブラリ)ハイジャックの手法を使用して検知の回避を試みていた点を指摘。DLLハイジャックとは、脆弱性を持つサードパーティの正規の実行可能ファイルを悪用し、不正なDLLをメモリに読み込ませて感染を試みるというものだ。
なお、データの抽出と後続のマルウェアの配布には、DropboxやYandex Diskなどのクラウドベースのデータストレージサービスや一時的なファイル共有プラットフォームが使用されていたという。また、指令サーバー(C2)をYandex Cloudおよび一般的な仮想プライベートサーバー(VPS)上に展開し、侵害したネットワークの制御を維持。同社はこれらの調査結果から、攻撃者がデータ抽出においても複雑な技術を有していることを指摘している。
【関連記事】
・3つの新たなマルウェアの感染手法をKasperskyが発見 貨物船の運航会社も標的に
・カスペルスキー、5年かけた「透明性への取り組み」の新たな拡大計画を発表
・カスペルスキー、LockBitによる攻撃範囲の拡大を発見
