ロシアのサイバースパイ活動グループ「ColdRiver」(別名:Callisto、Star Blizzard)が、セキュリティ研究者によって以前のマルウェアが暴露された後、新たなバックドア「SNOWYAMBER」に移行したことが、セキュリティ企業Secureworksの最新の調査で明らかになりました。
Secureworksの研究者によると、ColdRiverは2022年後半からSNOWYAMBERを使用しており、その活動は特に2023年5月以降に活発化しています。このグループは、以前は「KRYMRAT」と呼ばれるバックドアを使用していましたが、このマルウェアに関する情報が公開されたため、SNOWYAMBERへの移行を余儀なくされたと考えられます。
SecureworksのCounter Threat Unit (CTU) は、SNOWYAMBERがColdRiverのオペレーターによって、侵害されたネットワーク上での永続性を確立し、追加のペイロードを展開するために使用されていることを確認しました。SNOWYAMBERは、HTTPまたはHTTPSプロトコルを使用してコマンド&コントロール(C2)サーバーと通信し、侵害されたシステムに関する情報を収集し、ファイルをアップロードおよびダウンロードする機能を備えています。また、C2サーバーから受信した追加のモジュールを実行することも可能です。
ColdRiverの戦術と標的
ColdRiverは、NATO(北大西洋条約機構)や東ヨーロッパの政府機関、シンクタンク、防衛関連企業などを標的として、長年にわたってサイバースパイ活動を展開してきました。彼らの活動は、通常、機密情報の窃取や、将来的な攻撃のための足がかりを築くことを目的としています。Secureworksの分析によると、ColdRiverは、標的とする組織のネットワークに侵入するために、スピアフィッシング攻撃や、脆弱性を悪用した攻撃などの戦術を使用しています。
さらに注目すべきは、Googleの脅威分析グループ(TAG)が、ColdRiverが特定のケースでデータ窃盗マルウェアを使用していることを特定したことです。このマルウェアは、標的システムの機密情報を収集し、攻撃者の管理下にあるサーバーに送信する機能を持っています。Google TAGは、このマルウェアが「より洗練された攻撃の一部」として使用されていると指摘しています。
ColdRiverは、高度な技術と豊富なリソースを持つAPT(Advanced Persistent Threat)グループであり、その活動は国家の支援を受けている可能性が高いと見られています。彼らは、常に新しい戦術やツールを開発し、セキュリティ対策を回避しようと試みており、その動向には注意が必要です。
SNOWYAMBERの詳細とKRYMRATからの進化
SNOWYAMBERは、ColdRiverが以前使用していたKRYMRATバックドアを置き換えるために開発された新しいマルウェアです。KRYMRATに関する詳細な分析がセキュリティコミュニティで公開された後、ColdRiverは活動を継続するために、よりステルス性の高いSNOWYAMBERへと移行しました。
SNOWYAMBERは、KRYMRATと同様に、C2サーバーとの通信を通じて標的システムを制御する機能を備えています。しかし、SNOWYAMBERは、より高度な暗号化技術を使用しており、検出がより困難になっています。また、SNOWYAMBERは、モジュール式の設計を採用しており、攻撃者は必要に応じて機能を追加または削除することができます。
Secureworksの研究者は、SNOWYAMBERの分析を通じて、ColdRiverの攻撃手法が進化していることを明らかにしました。彼らは、ColdRiverが、標的とする組織のセキュリティ体制を詳細に調査し、その弱点を突くための高度な偵察活動を行っていることを指摘しています。また、ColdRiverは、攻撃の成功率を高めるために、複数の侵入経路を同時に試みることもあります。
サイバーセキュリティコミュニティへの警鐘
ColdRiverの活動は、サイバーセキュリティコミュニティ全体に深刻な警鐘を鳴らすものです。彼らの高度な技術と執拗な攻撃姿勢は、多くの組織にとって大きな脅威となります。組織は、ColdRiverのようなAPTグループによる攻撃から身を守るために、以下の対策を講じる必要があります。
* 多層防御戦略の採用: 単一のセキュリティ対策に依存するのではなく、複数の防御層を設けることで、攻撃者がシステムに侵入することをより困難にします。
* 脅威インテリジェンスの活用: 最新の脅威情報を収集し、分析することで、ColdRiverのようなAPTグループの攻撃を早期に検出し、対応することができます。
* セキュリティ意識向上トレーニングの実施: 従業員のセキュリティ意識を高めることで、スピアフィッシング攻撃などの人的な脆弱性を軽減することができます。
* 定期的な脆弱性診断の実施: システムやネットワークに存在する脆弱性を定期的に診断し、修正することで、攻撃者が悪用する可能性のある弱点を減らすことができます。
今後の展望と対策の重要性
ColdRiverのようなAPTグループの活動は、今後も継続すると予想されます。彼らは、常に新しい戦術やツールを開発し、セキュリティ対策を回避しようと試みるでしょう。組織は、これらの脅威に対抗するために、継続的なセキュリティ対策の強化と、サイバーセキュリティコミュニティとの連携を深める必要があります。また、政府機関や国際機関は、サイバー犯罪の取り締まりを強化し、ColdRiverのようなAPTグループの活動を阻止するための国際的な協力を推進する必要があります。
セキュリティベンダー各社は、ColdRiverが使用するマルウェアや攻撃手法を検出し、防御するための新しい技術やソリューションの開発に注力する必要があります。また、セキュリティ研究者は、ColdRiverの活動を継続的に監視し、その動向に関する情報を共有することで、サイバーセキュリティコミュニティ全体の防御力を高めることができます。
サイバーセキュリティは、組織だけでなく、社会全体にとって重要な課題です。ColdRiverのようなAPTグループによる攻撃から社会を守るために、政府、企業、研究機関、そして個人が協力し、サイバーセキュリティ対策を強化していく必要があります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Russian APT Switches to New Backdoor After Malware Exposed by Researchers - https://www.securityweek.com/russian-apt-switches-to-new-backdoor-after-malware-exposed-by-researchers/
- -Google Finds Data Theft Malware Used by Russian APT in Select Cases - https://www.securityweek.com/google-finds-data-theft-malware-used-by-russian-apt-in-select-cases/
- -coldriver - https://www.bleepingcomputer.com/tag/coldriver/