Secret Blizzard攻撃検知：ロシア支援APTがApolloShadowマルウェアでモスクワの外国大使館を標的に

ロシア関連のハッカーグループは依然として世界的な大きな脅威であり、モスクワの地政学的利益に沿うように戦術を絶えず適応させています。国際的な緊張が高まる中、これら政府関連のアクターは活動範囲を拡大し、世界中の注目度の高い組織を標的としています。マイクロソフトの脅威インテリジェンスチームの最新レポートでは、Secret Blizzard（別名 Turla、UAC-0024）がモスクワの外国大使館を標的にしていることが明らかにされています。同グループはISPレベルでのアドバーサリー・イン・ザ・ミドル（AiTM）技術を用い、カスタムのApolloShadowマルウェアを展開してサイバー諜報活動を行っています。

ApolloShadowマルウェアによるSecret Blizzardの活動検知

ESETの2024年第4四半期から2025年第1四半期のAPTアクティビティレポートによると、ロシア関連のアクターは世界のAPT攻撃源の中で第2位にランクされています。2025年においては、SVRやGRUなどロシア情報機関と関連するグループがウクライナおよびEUを積極的に標的にし、重要インフラや政府機関、研究機関に焦点を当てています。世界中の多くの組織がリスクにさらされているため、Secret Blizzardによる最近のサイバー諜報キャンペーンのような脅威に先手を打つことが極めて重要です。

SOC Primeプラットフォームに登録し、可能な限り早期にロシア系APT攻撃を検知しましょう。本プラットフォームはタイムリーな脅威インテリジェンスと実践的な検知コンテンツを提供し、AIを活用した検知エンジニアリング、自動化された脅威ハンティング、高度な脅威検知を支援する包括的な製品群を備えています。下の‘検知を探す’ ボタンから、ApolloShadowマルウェアを使用したSecret Blizzardの最新サイバー諜報キャンペーンを検知・対応するために設計された検知ルール群にアクセス可能です。

‘検知を探す’

または、サイバー防御者はThreat Detection Marketplace内で「Secret Blizzard」や「ApolloShadow」のタグを使って関連する検知コンテンツを検索できます。

SOC Primeプラットフォームのすべてのルールは複数のSIEM、EDR、Data Lakeソリューションと互換性があり、MITRE ATT&CK®フレームワークにマッピングされています。さらに各ルールは詳細なメタデータを備えており、脅威インテリの参照情報、攻撃タイムライン、トリアージ推奨事項などが含まれています。

また、セキュリティ専門家はUncoder AIを活用して、脅威情報に基づく検知エンジニアリングを効率化できます。これはプライベートIDE兼コーパイロットであり、生の脅威レポートから検知アルゴリズムを生成、IOCスイープの高速化、ATT&CKタグの予測、AIによるクエリコードの最適化、複数のSIEM/EDR/Data Lake言語への翻訳を可能にします。例えば、マイクロソフトの最新のSecret Blizzard活動に関する調査を用いれば、数クリックでAttack Flow図を生成可能です。

Secret Blizzardの活動分析：ApolloShadowマルウェアを用いたサイバー諜報キャンペーン

マイクロソフト脅威インテリジェンスチームによる最新の分析では、モスクワの外国大使館を標的とした高度なサイバー諜報作戦が明らかにされました。攻撃者はISP（インターネットサービスプロバイダー）レベルでのアドバーサリー・イン・ザ・ミドル（AiTM）技術を駆使し、ApolloShadowと識別されるマルウェアを配布しました。証拠から、この悪意ある活動は少なくとも2024年から継続しており、ロシアの通信インフラに依存する外交スタッフに対する継続的なセキュリティリスクを示しています。

この標的型キャンペーンは、連邦保安局（FSB）と関連が知られているロシアAPTグループ、Secret Blizzardによるものとされています。Turla、Waterbug、Venomous Bear、Snake、Iron Hunter、Kryptonなど複数の別名で追跡されている同グループは、政府機関や軍事機関、外交機関といった高価値標的に対するサイバー作戦で知られています。カスタムマルウェアや特殊な偵察ツールを駆使しており、CISAによると、Secret BlizzardはFSBのセンター16と直接的な関係があり、その戦略的なサイバー活動を示しています。

最新の大使館への攻撃では、Secret Blizzardは偽装されたキャプティブポータルを通じて被害者のインターネット接続を乗っ取ることで初期アクセスを獲得します。デバイスが正規のWindowsサービスを用いて接続確認を行う際、静かに攻撃者管理下のMicrosoftのテストページを模倣したドメインへリダイレクトされます。このリダイレクトによって、必要なシステムアップデートを装ったApolloShadowマルウェアのダウンロードが開始されます。

展開後、ApolloShadowはユーザーにユーザーアカウント制御（UAC）ポップアップを表示して権限昇格を促します。Kasperskyのインストーラー（CertificateDB.exe）を装い、不正なルート証明書をインストールします。これにより攻撃者は安全な通信を傍受し、システムへの長期的かつ秘密裏のアクセスを維持可能になります。

ApolloShadowはWindowsのcertutilを使用して悪意あるルート証明書をインストールし、二次的なスクリプト（“wincert.js”）を展開してMozilla Firefoxも偽証明書を信頼するよう設定します。この環境により、攻撃者は暗号化通信を復号・監視し、即座の警告なしに機密データを取得できます。

ApolloShadowが管理者権限を検出すると、システムレジストリ設定を変更してネットワークをプライベートに分類、ファイアウォールルールを緩和し、ハードコードされたパスワード付きの隠し管理者アカウント（“UpdatusUser”）を追加します。これらの措置により、持続的なアクセスとネットワーク内での横展開が容易になります。

外交機関へのSecret Blizzardによる攻撃の増加と、高度な回避技術の組み合わせは、防御側に迅速かつ積極的な対応を求めています。 SOC Primeプラットフォームは、セキュリティチームに最先端のソリューションを提供し、脅威検知とハンティング能力を向上させ、攻撃対象領域を大幅に縮小し、強固なサイバーセキュリティ体制の構築を支援します。