APT29
APT29 ( Advanced Persistent Threat ) は、ロシアを拠点とするハッキンググループです。このハッキング グループは、Cozy Bear、Cozy Duke、the Dukes、Office Monkeys というエイリアスでも活動しています。このサイバーギャングは、2008 年の MiniDuke マルウェアにその起源をたどり、攻撃の戦略とインフラストラクチャだけでなく、ハッキング兵器の改善と更新を継続的に行っています。 APT29 は、世界中の価値の高いターゲットを狙うことがよくあります。 APT29 の最近の取り組みは、世界中の医療機関から COVID-19 ワクチンのデータを盗むことに重点を置いています。
一部のサイバーセキュリティ研究者は、APT29 がロシアの諜報機関やロシア連邦保安庁 (FSB) と密接に関係していると強く疑っています。
今週のマルウェア エピソード 19 パート 1: ロシアの APT29 ハッカーがコロナウイルス/COVID-19 ワクチン研究会社を標的に
目次
ツールキットと注目すべき攻撃
選択したターゲットに関係なく、APT29 は常に、バックドア型トロイの木馬とマルウェア ドロッパーを使用した 2 段階の攻撃を実行します。前者は個人データを取得してリモートのコマンド アンド コントロール サーバー (C&C) に送信することを目的としており、後者は標的の組織に応じて実際の損害を与えます。ツールキットは、強化された AV 回避のための定期的な更新と調整の対象となります。
APT29 は、政府機関、軍事組織、外交使節団、通信事業者、およびさまざまな営利団体など、世界中の有名な組織を標的にした攻撃により、見出しを飾ることが多いため、かなり人気のあるハッキング グループです。以下は、APT29 が関与したとされる最も注目に値する攻撃の一部です。
- CozyDuke と Miniduke のマルウェアを米国の研究機関や国家機関に植え付けることを目的とした 2014 年のスパム メール キャンペーン
- 2015 年の Cozy Bear スピア フィッシング攻撃は、ペンタゴンの電子メール システムをしばらくの間機能不全に陥らせました。
- 2016 年の米国大統領選挙の前に、コージー ベアが民主党全国委員会を攻撃し、米国を拠点とする NGO やシンクタンクに対する一連の襲撃も行われました。
- 2017 年 1 月のノルウェー政府のスピアフィッシング攻撃は、国の労働党、国防省、外務省に影響を与えました。
- 新たに作成された Polyglot Duke、RegDuke、FatDuke マルウェア ファミリを導入した 2019 年の Operation Ghost 感染の波。
12年経った今でも力強い
APT29 は、2020 年も引き続き注目度の高い標的を狙っています。このハッキング グループは、米国、カナダ、英国にあるさまざまな医療研究機関を狙っているとの報告があります。 APT29 は、潜在的なワクチンや効果的な治療法の開発など、COVID-19 の研究に直接関係する医療機関を特に標的にしているようです。 APT29 は、問題の医療機関に属する IP 範囲をスキャンし、悪用可能な脆弱性がないかどうかを確認します。 APT29 が標的のネットワークへの侵入に成功すると、ハッキング グループは WellMess マルウェアまたは WellMail 脅威を展開します。
標的となった医療機関は、機密データが含まれている可能性があるため、この事件に関する情報をあまり提供していません。ただし、APT29 が COVID-19 の研究に関する機密情報と文書を探していると考えて間違いありません。 APT29 が利用するハッキング ツールは、感染したホストからデータを取得するだけでなく、感染したシステムに追加の脅威を植え付けることができます。
新しい APT29 関連の詐欺に注意してください
多くのサイバー犯罪者は、低レベルの詐欺やさまざまな脅威を広めるために COVID-19 を利用しています。ただし、APT29 の場合の方がはるかに興味深い。これはロシアの偵察作戦であり、クレムリンの支援を受けている場合とそうでない場合があると推測できます。
医療機関は、2020 年を通じて嵐の目にさらされているため、サイバー攻撃に非常に注意する必要があります。すべてのソフトウェアを最新の状態に保ち、非常に安全なログイン認証情報を使用し、すべてのパッチをファームウェアをインストールし、評判の良い最新のウイルス対策ソフトウェア スイートを入手することを忘れないでください。
