研究者らは、イタリア軍を標的としたと思われる新たなサイバースパイ活動の背後には、クレムリンと関係のある悪名高いハッキング集団APT28がいると主張している。
CSE Cybsec の Z-Lab のセキュリティ研究者は、週末を費やして、APT28 (別名 Fancy Bear) が実行したとされる新たなマルウェアベースのサイバースパイ活動の解明に取り組みました。
この多段階の攻撃キャンペーンは、Delphi で書かれた最初のドロッパー マルウェアと、以前 APT28 に関連付けられていた悪意のあるコードの一種である X-agent バックドアの新しいバージョンを特徴としています。
このキャンペーンに関連する悪意のあるライブラリ(DLL)ファイルの1つは、「marina-info.net」という名前のコマンド&コントロールサーバーに接続します。研究者によると、これはイタリア軍組織「マリーナ・ミリターレ」への言及です。
「『marina-info.net』に接続するDLLは最終段階のマルウェアである可能性があり、特定の条件が発生したときのみ、例えばマルウェアが特定の範囲に属するIPアドレスを持つシステムに感染したときのみ起動される」と研究者らは主張している。
ロシア政府支援のハッカー集団は、イタリアのマリーナ・ミリターレとその下請け企業を含む特定の組織を標的にしている可能性があると研究者らは結論付けている。夏季にイタリアの組織が標的にされたことから、研究者らはこの攻撃キャンペーンを「ローマの休日」と名付けた。
Z-Lab の研究者は、独立系研究者の Drunk Binary (@DrunkBinary) と協力して、実際に発見されたマルウェア サンプルを調査し、分析結果をまとめながら VirusTotal にアップロードしました。
CSE Cybsec が分析したマルウェア サンプルの詳細 (侵害の兆候を含む) は、ZLAb の研究者が公開したレポート (こちら (pdf)) でご覧いただけます。
![APT28による攻撃とされるものの詳細 [出典: CSE Malware ZLabのブログ記事]](https://image.brawte.com/anejbkmn/6b/93/apt28_roman_holiday.webp)
ローマの休日作戦 - ロシアのAPT28を追跡
APT28ハッキンググループは少なくとも2007年から活動しており、それ以来世界中の政府、軍隊、その他の組織を標的にしてきた。
西側諸国の情報機関によってロシア軍情報部GRUの一部門と特定されているこのグループは、ドイツ連邦議会やフランスのテレビ局TV5Mondeへの攻撃、そして(最も悪名高い)2016年米大統領選挙中に米民主党を標的としたハッキング・リーク作戦にも関与したとされている。
さらに最近では、2017年後半にこのグループはNATO諸国やウクライナから目をそらし、中国、モンゴル、韓国、マレーシアなどの国を攻撃した。
Palo Alto Networks の研究者らは、以前このグループに関連付けられていた SPLM および Zebrocy ツールを利用したさまざまなアジア諸国に対する攻撃を発見しました。
先週、GRU諜報員とされる12名が、2016年米国大統領選挙を狙った一連の攻撃に関与したとして起訴された。®
