Blind Eagle－クラウドサービスを悪用するサイバースパイ活動

Blind Eagle（別名：APT-C-36、AguilaCiega、APT-Q-98）は、2018年以降、コロンビアおよびエクアドルの政府機関、金融機関、重要インフラ分野を標的として活動している高度持続的脅威（APT）グループです。

このグループは、マルウェアのレパートリーを拡張しており、PureCrypterの亜種を使用しているほか、HeartCryptと呼ばれる「パッカー・アズ・ア・サービス（Packer-as-a-Service）」を利用して、難読化と検知回避を強化している可能性があります。

さらに、Blind EagleはC2（コマンド＆コントロール）インフラを頻繁に変更し、Google Driveなどのクラウドストレージサービスを悪用してマルウェアを配布しているとみられ、同地域における脅威の進化を示しています。

Blind Eagleの攻撃は、スピアフィッシングメールから始まります。このメールには、悪意のある.URLファイルが添付されており、CVE-2024-43451（NTLMv2ハッシュ漏洩の脆弱性）を悪用します。なお、この脆弱性は、2024年11月にMicrosoftが修正済みです。

脆弱なシステムでは、.URLファイルを開かなくても自動的にWebDAVリクエストが送信され、攻撃者に通知されます。一方、パッチが適用されたシステムでは、ユーザーが.URLファイルを手動でクリックした場合にのみ感染が進行し、マルウェアがダウンロードされます。

この.URLファイルは、PureCrypterの亜種をダウンロードし、メモリ上で直接ペイロードを実行することで検知を回避します。PureCrypterは、Bitbucket、GitHub、または侵害されたGoogle Driveアカウントから、Remcos RAT、NjRAT、AsyncRATのような複数のリモートアクセス型トロイの木馬（RAT）を取得・展開します。

特にRemcos RATは、Windowsレジストリの変更やスケジュールタスクの作成によって永続化を確立し、システム再起動後も自動的に実行されるようにします。これらのマルウェアは、C2サーバーと通信し、認証情報、メール、システム情報の窃取や、リモートコマンドの実行を可能にします。

Blind Eagleが正規のファイル共有プラットフォームを悪用している点は、重大なサイバーセキュリティ上の脅威であり、積極的な防御と継続的な監視が求められます。

・自社環境におけるIoC（侵害の兆候）を監視し、異常を早期に検知する。
・Windows環境を最新の状態に保ち、多要素認証（MFA）を導入して保護を強化する。
・包括的な脅威評価（フルスペクトラムアセスメント）を実施し、盲点や改善点を洗い出す。

※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。

本稿は、KPMGインドが発行している「Threat Intelligence Advisories 」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。

• Earth Alux－精密なツールキットで隠密戦術を展開するAPTグループ（4/8）
• NetSupport RAT－正規ソフトウェアからステルス型マルウェアへの変貌（4/15）
• NightSpire－製造業を狙う新興ランサムウェアグループ（4/30）