フォレスト・ブリザード別名ファンシー・ベア攻撃検出：ロシア支援のハッカーがカスタムGooseEggツールを用いてCVE-2022-38028を悪用し、ウクライナ、西ヨーロッパおよび北アメリカを標的にした攻撃

追跡されている悪名高いサイバースパイ活動ハッカー集団である フォレストブリザード （通称、ファンシーベア、STRONTIUM、またはAPT28）は、新たなカスタムツールとされるGooseEggマルウェアを使用して、Windows Print Spoolerの重大な脆弱性CVE-2022-38028を利用する実験を行っています。敵対者は、多様な産業分野で世界中の組織を標的にして、複数の情報収集攻撃を実行しています。特権昇格と資格情報の窃取が成功すれば、敵対者はRCEを実行し、マルウェアを投下し、さらなる感染を進めることができます。

最新フォレストブリザードサイバースパイ活動の検知

世界全体で地政学的緊張が高まる中で、急激に増大するAPT脅威に対抗するため、サイバー防御者は洗練された攻撃をタイムリーに発見する信頼できるソリューションを求めています。ロシアが支援する複数のAPT集団は特に活発で、ウクライナを新たな悪意のあるTTPs（戦術・技術・手順）を試す実験場として利用しています。さらに、モスクワ政府が興味を持つ主要な標的に対して、実証された方法が活用されています。

最新のフォレストブリザード（通称ファンシーベア/APT28）のキャンペーンは、この傾向をさらに強化し、攻撃の対象となっているのはウクライナ、西ヨーロッパ、北アメリカの組織です。SOC Primeプラットフォームは、共同のサイバー防御のために、悪名高いこのサイバースパイ活動に関連する悪意のある活動を識別するための選定されたSigmaルールのセットを集合しています。「 検知を探す 」ボタンを押して、関連する検知セットに即座にアクセスしてください。

検知を探す

すべてのルールは28のSIEM、EDR、およびデータレイクテクノロジーと互換性があり、 MITRE ATT&CK®フレームワークにマッピングされています。さらに、検知は関連する脅威インテリジェンス、攻撃タイムライン、メタデータで強化されており、脅威の調査をスムーズにします。

フォレストブリザードのTTPsを遡及的に分析するための高品質な検知コンテンツを探しているサイバーセキュリティの専門家は、“フォレストブリザード”タグを使ってSOC Primeの脅威検知マーケットプレースを参照するか、 このリンクをたどることができます。当社のSigmaルールライブラリーには、CVE-2022-38028のエクスプロイト試行に関連する検知が含まれており、 こちら. 

フォレストブリザード攻撃分析：CVE-2022-38028を悪用するサイバースパイ活動の洞察

マイクロソフト脅威インテリジェンス は最近、ファンシーベア（通称 APT28 APT28、フォレストブリザード、Pawn Storm、Sofacy Group、またはStrontium）とされる継続中の敵対的キャンペーンの洞察を共有しました。ロシアの軍事諜報機関26165部隊に属するGRU支援のグループであるフォレストブリザードは、過去4年間以上にわたり、独自のツールGooseEggを駆使し、Windows Print Spoolerの既知の特権昇格脆弱性（CVE-2022-38028）を悪用するために、JavaScript制約ファイルを修正し、SYSTEMレベルの権限で実行してきました。

ファンシーベアは特にマイクロソフト製品における広く知られた脆弱性を武器化して標的に侵入し、主に情報収集を中心に悪意のある活動を行いますが、それに限定されるわけではありません。このロシアに関連する国家によって支援される悪名高いグループは、ロシアの全面的な侵略以来、ウクライナおよびその同盟国を執拗に攻撃しており、その例として、 2023年末に行われたフィッシングキャンペーン では、CERT-UAによって報告されたウクライナの公共部門の機関やポーランドのいくつかの組織に対する攻撃があります。

継続中の長期的なキャンペーンでは、敵対者はウクライナ、西ヨーロッパ、北アメリカの公共および民間部門の組織を標的にしています。GooseEggを利用することで、脅威アクターは標的のシステムに対する高いアクセス権を獲得し、感性データを盗み、攻撃の展開をさらに進め、RCE、バックドアのデプロイ、影響を受けたネットワーク内での横方向の移動を可能にします。

フォレストブリザードは戦略的な情報目標に焦点を当てており、Seashell Blizzard（IRIDIUM）や Cadet Blizzard （DEV-0586）などの他のGRU関連グループとの違いを際立たせています。ロシアに関連するハッカーグループは、PrintNightmareと呼ばれる脆弱性（CVE-2021-34527およびCVE-2021-1675）を武器化してきましたが、フォレストブリザードの攻撃ツールキットにGooseEggが公開されたことは、防御者に対して注意と高度な対応が求められるところです。

通常、GooseEggは対応するGooseEgg実行可能ファイルをトリガーし、スケジュールされたタスクを作成して持続性を確立するためのバッチスクリプトと共に展開されます。GooseEggバイナリは、Windows Print Spoolerバグのエクスプロイトをアクティブ化し、特権レベルの高いDLLや実行可能ファイルをトリガーするためのコマンドを提供します。また、「whoami」コマンドを利用して、エクスプロイトの成功を確認します。

マイクロソフトはCVE-2022-38028に対処した 関連するセキュリティアップデート を2022年10月に公開し、この欠陥を最初に報告したとしてアメリカNSAにクレジットを与えています。その他のCVE-2022-38028の潜在的な緩和策として、研究者たちはドメインコントローラーでのサービスの無効化、および敵対者の侵入リスクを最小化するための積極的なサイバー防御戦略の採用を推奨します。

ロシアが支援するフォレストブリザード（通称ファンシーベア）のグループに関連する攻撃が増加する中で、特にカスタムされたGooseEggマルウェアを使用する最新の活動に対処しているため、セキュリティチームは防御を強化しています。 アタックディテクティブであるAdvanced SaaS for Automated Threat Hunting & Detection Stack Validationを利用することで、組織は検出のカバレッジにおける視覚障害点を効果的に識別し、リアルタイムのアタックサーフェイスの可視性を得て、敵対者が攻撃を仕掛ける前に侵害を発見できるようにします。