概要:APT28の新たなサイバー攻撃キャンペーン
セキュリティ研究機関Sekoia.ioは、ロシアの国家支援型脅威アクターであるAPT28(別名:Fancy Bear、BlueDelta、Forest Blizzardなど)が、ウクライナ軍関係者を標的とした高度なサイバー攻撃キャンペーンを展開していることを明らかにしました。このキャンペーンでは、武器化されたOffice文書を通じて、BeardShellとCovenantという高度なマルウェアフレームワークが配布されています。
APT28は、正規のクラウドインフラと巧妙な難読化技術を悪用し、検出を回避しながら永続的なアクセスを維持するという、戦術の著しい進化を見せています。
感染経路:Signal DesktopとOffice文書の悪用
感染は、悪意のあるOffice文書がSignal Desktopを通じて配布されることから始まります。APT28がSignalを選んだのは、このプラットフォームが「Mark of the Web (MOTW)」セキュリティメカニズムを欠いているためです。MOTWは通常、信頼できないソースからのファイルにおけるマクロ実行を防止しますが、Signalではこの警告がトリガーされません。
攻撃者は、私的なSignalチャットで同僚や上司になりすまし、報酬決定や法的措置をほのめかして標的を操作し、悪意のある文書を開かせます。これらの文書は、人事評価、医療補償申請、ドローン配送受領書など、ウクライナ軍の正規の管理フォームを装って巧妙に作成されています。この標的設定は、APT28が最前線の戦闘員、負傷者、部隊の割り当て、装備のサプライチェーンに関する情報を収集することに焦点を当てていることを示唆しています。
Sekoiaの研究者が侵害されたアカウントにアクセスしたところ、複数のフォルダにわたる115個のファイルが発見され、42個のユニークな部分GUIDから、少なくとも42の異なるホストが侵害されていることが判明しました。最も古い感染は2024年12月3日に遡ります。
ペイロード配信:ステガノグラフィーとCovenantフレームワーク
被害者がマクロを有効にすると、Office文書に埋め込まれたVisual Basicスクリプトが複雑な多段階感染プロセスを開始します。このマクロは、まずWindows OSとVBAのバージョンを確認し、隠されたデータを難読化解除します。その後、レジストリエントリを追加してWindows Printer COMサーバーをハイジャックし、explorer.exeが起動するたびに悪意のあるDLLが自動的にロードされるようにすることで永続性を確立します。
感染チェーンは、以下の2つの重要なファイルをドロップします。
prnfldr.dll(C:\ProgramData\)windows.png(ユーザーのAppData\Localディレクトリ)
DLLは正規のWindowsプリンターライブラリのプロキシとして機能し、同時にPNGファイル内に隠されたシェルコードペイロードをステガノグラフィー技術を用いて抽出するスレッドを密かに生成します。マルウェアは、各ピクセルのRGBA値の最下位ビットを読み取り、次の段階のシェルコードを含むAES暗号化されたブロブを再構築します。
抽出されたシェルコードは、Common Language Runtime環境を初期化し、オープンソースのレッドチームツールであるCovenantフレームワークのHTTP Grunt Stagerコンポーネントとして識別される.NET実行可能ファイルをロードします。
APT28は、従来のネットワークプロトコルの代わりにKoofrクラウドストレージサービスAPIをコマンド&コントロール(C2)通信に利用する独自のC2Bridge実装でこのフレームワークをカスタマイズしています。これにより、マルウェアは偵察データをアップロードし、追加のペイロードを正規のクラウドインフラを通じてダウンロードできるため、検出が著しく困難になります。
実行中、Covenantモジュールは埋め込まれた認証情報を使用してハードコードされたKoofrアカウントに接続し、ファイルベースの通信用のディレクトリ構造を作成します。インプラントは安全な鍵交換のためにハイブリッド暗号化を実行し、その後、スクリーンショットのキャプチャ、ARPスキャン、IP情報要求、traceroute操作、プロセス列挙など、実行すべき新しい「タスク」をクラウドストレージにポーリングします。
BeardShell:PowerShell実行とicedrive C2
CERT-UAの分析とSekoiaの確認によると、Covenantフレームワークは、PlaySndSrv.dllとsample-03.wavを含む追加コンポーネントをダウンロードし、これらがBeardShellを抽出・実行します。BeardShellは、icedriveクラウドストレージサービスをC2チャネルとして使用するC++バックドアです。
BeardShellは、ハードウェアプロファイルのGUID、コンピューター名、ドメイン名、ユーザー名、ワークステーション名をFNV4アルゴリズムでハッシュ化することで、感染したホストごとに一意の識別子を生成します。マルウェアは起動時にSystemInfoコマンドを実行し、結果をicedriveにアップロードした後、4時間ごとに指定されたディレクトリをポーリングしてオペレーターがアップロードしたコマンドファイルを確認します。
BeardShellは、オペレーターがPowerShellインスタンスを作成し、コマンドやスクリプトを実行し、実行ステータスを監視し、複数のセッションを同時に管理できるようにする7つの異なるコマンドを実装しています。
検出を回避するため、アップロードされるファイルはChaCha20-Poly1305アルゴリズムで暗号化され、BMP、GIF、JPEG、PNG、TIFFなどの画像ファイルヘッダーと拡張子で偽装されます。
APT28の進化する戦術
このキャンペーンは、APT28の以前の作戦と比較して、著しい技術的進歩を示しています。オープンソースの攻撃ツールとサードパーティのクラウドサービスを統合し、秘密裏の通信を実現しています。特に、PNGファイル内にペイロードを埋め込むためのステガノグラフィーの使用は、APT28の活動ではこれまで文書化されていなかった新しい難読化手法です。
Sekoiaの脅威検出および対応チームは、2025年8月にAPT28がこの感染チェーンを武器化されたExcel文書で再利用し、Filenクラウド環境を標的としたことを確認しており、このグループがこれらの高度な技術を適応させ、再利用し続けていることを示しています。