ロシアの政府系サイバースパイ集団である「Turla」が、同じくロシアを拠点としている別のハッカーの活動を利用して、ウクライナへの攻撃を仕掛けていたことがわかりました。Frequent freeloader part II: Russian actor Secret Blizzard using tools of other groups to attack Ukraine | Microsoft Security Blog

https://www.microsoft.com/en-us/security/blog/2024/12/11/frequent-freeloader-part-ii-russian-actor-secret-blizzard-using-tools-of-other-groups-to-attack-ukraine/Russian cyber spies hide behind other hackers to target Ukrainehttps://www.bleepingcomputer.com/news/security/russian-cyber-spies-hide-behind-other-hackers-to-target-ukraine/Turla living off other cybercriminals’ tools in order to attack Ukrainian targets | CyberScoophttps://cyberscoop.com/turla-leverage-cybercriminal-tools-target-ukraine-microsoft/Turlaは、「Secret Blizzard(シークレット・ブリザード)」との別名でも知られているサイバースパイ集団で、アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、「シークレット・ブリザードはロシア連邦保安局(FSB)のシギントおよびコンピューターネットワーク作戦(CNO)機関の『センター16』である」としています。Turlaの大きな特徴のひとつは、他のハッカーの攻撃ルートを乗っ取って活動する点です。Microsoftの脅威インテリジェンスチームと、アメリカの通信会社・Lumenは2024年12月4日に、Turlaがパキスタンの脅威アクターである「Storm-0156」が構築したインフラを用いて外国へのマルウェア攻撃を展開していたことを報告しました。ロシアのサイバースパイ集団「シークレットブリザード」が他のハッカーのサーバーやインフラを乗っ取って攻撃している - GIGAZINEさらに、Microsoftは12月11日に、TurlaがロシアのハッカーであるStorm-1919とStorm-1837のインフラをハイジャックしてウクライナにおけるロシアの軍事作戦を有利に進めようとしていたことを突き止めたと発表しました。今回報告された1つ目の攻撃は、2024年3月から4月に行われたもので、Storm-1919が使用していたマルウェアの「Amadey」が利用されました。Amadeyはもともと仮想通貨のマイナーを対象としたものでしたが、TurlaはAmadeyを利用して「Tavdig」と「KazuarV2」という2つのバックドアをウクライナの軍事ネットワークに仕掛け、Starlink接続デバイスを含むウクライナ側のハードウェアを攻撃しました。TurlaがAmadeyのボットネットを乗っ取ったのか、あるいはStorm-1919からボットネットへのアクセスを購入したのかは不明です。Microsoftは「シークレットブリザードがAmadeyをマルウェアサービス(MaaS)として使ったか、秘密裏にAmadeyのコマンド・アンド・ コントロール(C2)パネルにアクセスして、ターゲットデバイスにPowerShellドロッパーをダウンロードさせたと評価しています」とレポートに記しました。2つ目の攻撃は、2024年1月にTurlaが別の脅威アクターであるStorm-1837のインフラを乗っ取って行ったものです。Storm-1837は元から「Cookbox」というPowerShellバックドアを使ってウクライナのドローンパイロットが使用するデバイスを標的とした攻撃を行っていましたが、Turlaはこれを利用してTavdigとKazuarV2を展開しました。Storm-1919と同様に、TurlaがStorm-1837を乗っ取ったのかStorm-1837と連携したのかは定かではありませんが、いずれにせよ今回の報告により他のハッカーの活動を利用して外国に攻撃を仕掛けるTurlaの手口の詳細が明らかになりました。Microsoftは「どのような手段を使ったのであれ、シークレットブリザードが他の脅威アクターから提供ないし盗まれた足がかりを使っていたことは、シークレットブリザードがウクライナの軍事用デバイスへのアクセスを優先事項にしていることを示すものであると、Microsoftの脅威インテリジェンスチームは評価しています。シークレットブリザードが、ここで取り上げたキャンペーン以外でもこの手口を使う可能性は高いとみられます」と述べました。