概要:巧妙な「Living-Off-the-Land」攻撃
ロシアに関連するハッカー集団が、マルウェアではなく正規のWindowsツールを悪用する「Living-Off-the-Land(環境寄生型)」戦術を駆使し、ウクライナの組織に対する攻撃を激化させています。この高度な手法は、検出を回避しながら目的を達成するために、デュアルユースツール(正規の用途と悪意のある用途の両方に使えるツール)を巧みに利用しています。
最近の脅威ハンターチームによる調査では、2つの異なるキャンペーンが明らかになりました。1つは大規模なビジネスサービス組織に対する2ヶ月間の侵害、もう1つは地方政府機関に対する1週間の攻撃です。これらの攻撃は、いずれも機密データの収集と永続的なネットワークアクセス確立を目的としていました。
初期侵入と偵察活動
侵入は、公開されているサーバーにウェブシェルを展開することから始まりました。これは、未パッチの脆弱性が悪用されたことを示唆しています。攻撃者は、Microsoftがロシアの悪名高いSandworm組織のサブグループであるSeashell Blizzardと関連付けている「Localolive」というウェブシェルを使用しました。Sandwormは、ロシア軍情報機関(GRU)の部隊として公式に指定されており、ウクライナの電力網への壊滅的な攻撃、VPNFilterキャンペーン、Viasat衛星モデムへのAcidRain攻撃など、重要なインフラを標的とした破壊的な作戦で悪名高い存在です。
2025年6月27日の初期アクセス後、攻撃者はシステム構成とユーザー権限をマッピングするために偵察コマンド(whoami、tasklist、systeminfoなど)を実行しました。同時に、検出されないツール展開を可能にするため、DownloadsフォルダーのWindows Defender保護を無効化しました。さらに、30分ごとに実行されるスケジュールタスクを作成し、システムメモリとレジストリハイブから認証情報を抽出するという、体系的な認証情報収集アプローチを示しました。
高度な永続化メカニズム
攻撃者は、侵害されたネットワーク内の複数のシステムにわたって操作をエスカレートさせ、長期的なアクセスを可能にする永続化メカニズムを確立しました。特に、Computer 2ではKeePassパスワード保管庫プロセスを標的とし、プロセス識別子を抽出した後、保存された認証情報を収集するためのメモリダンプタスクを作成しました。
7月16日には、検出の可能性を最小限に抑えるために、あまり注目されない正規のツールであるWindows Resource Leak Diagnosticツールを展開しました。7月下旬までに、キャンペーンは最も積極的な段階に入りました。攻撃者はリモートコマンドラインアクセス用にOpenSSHをインストールし、ポート22でのインバウンドSSH接続を許可するファイアウォールルールを作成し、事前認証なしでRDPを構成して複数のリモートアクセス経路を確立しました。また、ドメインアカウントで30分ごとに実行されるスケジュールされたPowerShellバックドアを展開し、回復力のあるコマンド実行能力を確保しました。
Downloadsフォルダー内で正規のMicrotikルーター管理アプリケーション(winbox64.exe)が発見されたことは、潜在的なネットワーク偵察またはラテラルムーブメント活動を示唆しています。このファイル名は、2024年のSandworm作戦を記録したウクライナCERT-UAの報告書にも登場しています。
最小限のマルウェア、最大限のインパクト
不審な実行可能ファイルやPowerShellバックドアを展開したにもかかわらず、攻撃者は極めて少ないマルウェアの存在に留め、代わりにネイティブのWindowsユーティリティとデュアルユースツールに依存しました。このアプローチは、セキュリティツールが通常トリガーする特徴的なアーティファクトを最小限に抑えながら、完全な運用能力を維持するという、高度なオペレーターの技術を反映しています。
Pythonスクリプト、.NETランタイム、および標準的な管理ユーティリティの展開は、高度な脅威アクターが完全に正規のインフラストラクチャのみを使用して包括的なネットワーク侵害を実行できることを示しています。この侵入は、少なくとも4台の侵害されたコンピューターで8月中旬まで継続し、悪意のある活動の最終的な証拠は2025年8月20日に記録されました。
このキャンペーンは、熟練した敵対者が最小限のマルウェアシグネチャで最大の運用インパクトを達成する、進化する脅威の状況を例示しており、従来のセキュリティ監視アプローチにとって深刻な検出課題を提示しています。