APT29－外交ネットワークに対するサイバー侵入

APT29（別名 Cozy Bear、The Dukes、Midnight Blizzardなど）は、少なくとも2008年以降活動しているサイバースパイグループで、欧州およびNATO諸国の政府、シンクタンク、外交機関、エネルギー企業、政治組織などを標的に、きわめて秘匿性の高い侵入を行ってきました。

2025年初頭、APT29は特に欧州の外交ネットワークに焦点を移し、外務省を狙ったカスタマイズされたフィッシングキャンペーンを展開しました。

APT29は、信頼できる機関を装ったスピアフィッシングメールを送信し、ZIPアーカイブ（wine.zip）をダウンロードさせるリンクを配布することで攻撃を開始します。このZIPファイルを展開すると、PowerPoint形式のバイナリ（wine.exe）が含まれており、実行されるとダミーのDLLと悪意あるローダー（ppcore.dll）をサイドロードします。このローダーはGRAPELOADERとして知られ、ペイロードをメモリ上に密かに読み込みます。GRAPELOADERはユーザーのAppDataディレクトリに自身をインストールし、Runレジストリキーを利用して永続化を実現します。

このマルウェアは、カスタム文字列難読化とクリーンアップ、実行時API解決、DLLフック解除、ジャンクコード挿入、メモリ保護を利用したシェルコードの遅延実行といった回避技術を駆使します。GRAPELOADERはホストのフィンガープリントを取得し、システムデータを暗号化されたHTTPS経由でC2（コマンド＆コントロール）サーバーに送信し、追加のシェルコードを取得してメモリ上で実行します。

このシェルコードはWINELOADERを展開し、RC4で自身を解凍、存在を難読化し、メモリから自己削除します。WINELOADERはメタデータを収集し、偽のWindows 7/EdgeのUser-Agent文字列を使用し、モジュール化されたC2チャネルを通じて通信を行い、認証情報の窃取やラテラルムーブメントを可能にします。

データの持ち出しは暗号化されたHTTPSチャネルを介して行われ、正規のトラフィックに紛れることで秘匿性を維持します。

APT29の秘匿性の高いスパイ活動、洗練されたマルウェアローダー、そして高度な回避技術は、積極的な脅威ハンティングと強固なサイバーセキュリティ体制を必要とします。

•  環境内でIoC（侵害の痕跡）を監視し、異常を特定する。
•  Windows環境を最新の状態に保ち、多要素認証で保護する。
  
• 盲点や改善点を明らかにするため、包括的かつ全方位的な脅威評価演習を実施する。

※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。

本稿は、KPMGインドが発行している「Threat Intelligence Advisories 」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。

• RA World－スパイ活動の痕跡を持つリブランド版ランサムウェア（7/1）
• APT35－偽装ドメインから盗まれた機密情報まで（7/15）
• Janela RAT－LATAMフィンテックを狙う高度な多段階攻撃（7/22）
• LARVA-208－AIをテーマにしたソーシャルエンジニアリングによるWeb3侵害（7/29）