新たに発見されたスパイ集団は、ブティック型の攻撃ツールを避け、代わりに公開されているエクスプロイトをパッチ未適用のシステムに対して使用している。
Gallmakerとして知られるサイバースパイ集団は、東欧の特定国の大使館や中東の軍事防衛施設を標的にしているとされています。シマンテックの研究者によると、このグループは昨年12月から活動しており、インターネットから収集したコードのみを頼りに活動しています。このグループは「おそらく」、特定国の支援を受けているとされています。
「このグループはカスタムマルウェアを避け、Living Off the Land(LotL)戦術と公開されているハッキングツールを使って、サイバースパイ活動の特徴をすべて備えた活動を実行している」とシマンテックは主張した。
ガルメーカーのアプローチで最も興味深い点は、同グループが活動にマルウェアを使用していないことです。むしろ、私たちが観察した攻撃活動は、LotLの戦術と公開されているハッキングツールのみを使用して実行されています。
シマンテックによると、このグループは、仕掛けられたMicrosoft Office文書を電子メールで被害者に送りつけます。これらのファイルを開くと、レドモンドのDDE(Dynamic Data Exchange)プロトコルを介してPowerShellスクリプトが起動します。これらのスクリプトはリモートコントロールサーバーへの接続を確立し、攻撃者はそこから感染マシンからデータを抜き出し、場合によっては痕跡を隠蔽するためにファイルを削除します。
これらのスクリプトは、Microsoftが2017年に修正プログラムを適用したDDEの脆弱性を悪用することに注意してください。そのため、ソフトウェアを最新の状態にしておくか、DDEのサポートを無効にしておけば、今のところは問題ありません。修正プログラムを適用していても、ユーザーまたは管理者が修正プログラムを上書きした場合のみ、コードが実行される可能性はあります。つまり、DDEを有効にせず、ユーザーが再有効化できないようにしてください。
Microsoft Word DDEの悪質なプログラムに注意: フレディマックが脅威にさらされる
続きを読む
このグループは特定の国の大使館と中東の一連の防衛施設を標的にしていると思われるため、シマンテックは、この活動は国家が支援するスパイ活動であると考えている。
「Gallmaker の活動は、当社が追跡を開始して以来、かなり一貫している」とシマンテックは述べた。
「このグループは2017年12月以降、ほぼ毎月攻撃を行っている。その後、2018年第2四半期に活動が活発化し、特に2018年4月に急増した。」
このグループはマルウェアを目的としたカスタム攻撃ツールを使用してはいないが、研究者らは、Gallmaker は独自の方法で非常に洗練された操作を行っていると述べている。
公開されているツールを利用することで、このグループは実環境での検知を困難にし、「通常の」サイバー犯罪活動や正当なデータトラフィックとの区別さえ困難にしています。シマンテックは、制御サーバーとの通信に使用されている疑わしいPowerShellコマンドに気づいて初めて、このグループの存在に気づいたと述べています。
研究者たちは、オンラインスパイ活動への参入障壁の低下について警告を発している。高度な攻撃を行うためのリソースを持たないと思われていた国々が、他国のツールを転用したり、公開されているマルウェアや漏洩したエクスプロイトを自国の目的のために利用したりできるようになっているのだ。®
