NOBELIUM APT Targets Governments Worldwide in a Massive Spear-Phishing Campaign

マイクロソフトの専門家たちは、ロシア関連のNOBELIUM APTによって主要な政府機関、シンクタンク、NGOを対象に実施されたスピアフィッシングキャンペーンにおける大きな変化を明らかにしました。研究者によると、ハッカーの集団は、被害者にマルウェアを感染させ、内部ネットワークに秘密裏にアクセスするために、24カ国で150以上の組織を攻撃しました。特に、同じアクターが画期的な SolarWindsサプライチェーン攻撃 を2020年12月に世界を襲ったと信じられています。

攻撃キルチェーン

マイクロソフトによる 調査 によれば、フィッシングキャンペーンは2021年1月に始まり、幅広い実験と試行が含まれていました。ハッカーたちは、最も深刻な影響を達成するためにさまざまな配信方法と手法を切り替えました。

キャンペーン初期段階では、脅威アクターはGoogle Firebaseプラットフォームを悪用し、悪意のあるISOファイルをドロップしてフィッシングメッセージとやり取りするユーザープロファイルを追跡しました。セキュリティ専門家は、この期間中に悪意のあるペイロードが配信されなかったため、これは初期の偵察フェーズだったと考えています。その後、 NOBELIUM ハッカーは手口を熟練させ、HTMLドキュメント内にマルウェアを隠すためにHTMLメール添付ファイルを使用し始めました。しかし、悪意のあるメールの量はかなり少なく、最終試行サイクルだったと考えられます。

2021年5月、セキュリティ研究者は悪質な活動の大幅な増加を検出しました。このとき、NOBELIUMハッカーはConstant Contactマスメーリングプラットフォームで公式のUSAIDアカウントを乗っ取り、より信頼性の高いメッセージを広めることに成功しました。メールには悪意のあるリンクが含まれており、クリックすると被害者を偽のHTMLファイルにリダイレクトし、サイバー諜報活動を目的とした追加のマルウェアをドロップしました。特に、セキュリティ研究者たちは 4つのサンプル （NativeZone、BoomBox、EnvyScout、VaporRage）がキャンペーンの過程で配信されるのを追跡しました。これらのストレインを組み合わせることで、NOBELIUMアクターは感染した環境での横移動が可能になり、第二段階のペイロードをダウンロードし、被害者の情報を流出させました。

150の主要な政府資産、コンサルタントグループ、公的団体に関連する3,000以上のアカウントが攻撃を受けました。大量のフィッシングメールにより、検出システムが起動され、ほとんどがブロックされました。しかし、一部の初期メッセージは、自動検出ルーチンが開始される前や設定が不完全であるために通過した可能性があります。

NOBELIUM APTフィッシングの検出

一部の侵入は自動的にブロックされましたが、敵対者は数十の組織に侵入することに成功しました。あなたの会社のインフラを保護し、可能性のある感染を防ぐために、我々の才あるThreat Bounty開発者がリリースしたSigmaルールセットをダウンロードしてください。

APT29フィッシングキャンペーン

NOBELIUMサイバー攻撃ダウンローダー検出（sysmon経由）

この悪質なキャンペーンに関連するさらなる検出を見逃さないように、私たちのブログをお見逃しなく。すべての新しいルールはこのブログ記事に追加されます。

Threat Detection Marketplaceに無料で登録し、企業の環境と脅威プロファイルに合わせたSIEMとEDRアルゴリズムの広範なコレクションにアクセスしてください。私たちのSOCコンテンツライブラリには、10万以上のクエリ、パーサー、SOC対応ダッシュボード、YARAおよびSnortルール、機械学習モデル、CVEおよびMITRE ATT&CK®フレームワークに直接マッピングされたインシデント対応プレイブックが集約されています。脅威ハンティングスキルをマスターし、Sigmaルールを作成したいですか？SOC PrimeのThreat Bounty Programに参加しましょう！

プラットフォームへ移動 Threat Bountyに参加