Microsoftは米国時間5月27日、ロシア政府を後ろ盾とするハッカー集団「NOBELIUM」によるフィッシングキャンペーンが展開されていると警告した。NOBELIUMは米国際開発庁(USAID)が電子メールマーケティングプラットフォーム「Constant Contact」で使用しているアカウントを乗っ取り、フィッシングメールを送付したという。
提供:Microsoft
同社によると、このフィッシングキャンペーンでは、政府機関やシンクタンク、コンサルタント、非政府組織のおよそ3000のアカウントがその標的にされたという。悪意のある電子メールの送信先はほとんどが米国内だったものの、少なくとも24カ国でもメールが確認されている。
Microsoftのカスタマーセキュリティおよびトラスト担当コーポレートバイスプレジデントのTom Burt氏は「NOBELIUMの今週の攻撃は、Constant ContactのUSAIDアカウントを乗っ取ることから開始された」と述べた。
「その後NOBELIUMは、(USAIDからの)本物のメールに見えるが、クリックすると『NativeZone』というバックドアを配布するための悪質なファイルを作成するリンクが仕込まれたフィッシングメールを拡散した」(Burt氏)
Burt氏によると、これら電子メールの多くはブロックされたという。また、今回の攻撃がMicrosoft製品の脆弱性を突くものだと考える理由はないという。
この攻撃は2月に発見され、MicrosoftはNOBELIUMがいかにアプローチを変更し、悪意のあるコードの被害者のコンピューターに仕込んでいるかを監視した。Microsoft Threat Intelligence Center(MSTIC)がブログ記事の中で説明している。
MSTICは、「5月25日の攻撃キャンペーンは何度か繰り返された。あるメールはUSAIDから送信されたように見える一方、Constant Contactの標準的なサービスで利用されている真正の送信者メールアドレスを有しているものもあった」と述べた。
ユーザーがいったん添付ファイルを開くと、おとりとなる文書とショートカット、DLLを含んだISO形式の悪意あるファイルがディスクに出力される。このDLLは「Cobalt Strike」の「Beacon」コンポーネントをロードする悪質なものであり、MicrosoftはこのバックドアをNativeZoneと名付けている。ユーザーがISO形式のファイルを開くと、同ファイルは外部ドライブやネットワークドライブのようにマウントされ、ショートカットの実行とともにこのDLLが実行され、NOBELIUMの攻撃活動が始まる。
MSTICは「これらのペイロードが配備されることで、NOBELIUMは手中に収めたマシンに永続的にアクセスできるようになる」と述べた。
「これらの悪意あるペイロードが実行されると、NOBELIUMはラテラルムーブメント(ネットワーク内での水平移動)やデータの窃取、さらなるマルウェアの配備といった、標的に対するさまざまな攻撃行動を遂行できるようになる」(MSTIC)
Burt氏は「NOBELIUMの作戦目標に、厚く信頼されているテクノロジープロバイダーへのアクセス権を得た上で、その顧客に対する侵略を進めていくというものがあるのは明白だ。NOBELIUMは、ソフトウェアアップデートに便乗する攻撃、そして今回の大量の電子メールを扱うプロバイダーに対する攻撃で、諜報活動における巻き添え被害の規模を増大させるとともに、テクノロジーのエコシステムへの信頼に傷をつけている」と述べた。
「NOBELIUMによる人権団体や、人道主義に基づく組織への攻撃は、サイバー攻撃が国家による多種多様な政治目的を達成するための手段となっていることを示す一例だと言える」(Burt氏)
Burt氏は、国家によるオンライン上での活動に関するルール策定と、違反行為がもたらす結果を明確にしておく必要があると呼びかけている。
同氏は、「Microsoftは今後も、協力的な政府や民間部門と連携し、デジタルの平和に向け、目標を進展させていく」と述べた。
NOBELIUMはSolarWindsのサプライチェーン攻撃に関与したとみられている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
