Cyber Partisans－ハクティビストによる国家インフラの破壊

Cyber Partisansは2020年に登場した東欧拠点のハクティビストグループであり、政治的動機に基づくサイバー攻撃で知られています。彼らは主にベラルーシとウクライナの政府機関、重要インフラ、航空、交通分野および産業システムを標的とし、機密データの窃取やITシステムの破壊を目的としています。

さらに、彼らの戦術はますます高度化しており、ランサムウェア、破壊的なワイパー、そしてTelegramをコマンド＆コントロールに利用するVasilekのような隠れたバックドアを含んでいます。

Cyber Partisansは通常、FortiClient VPNなどの正規ソフトウェアに偽装した悪意のあるインストーラーを含むフィッシングメールを通じて攻撃を開始します。このインストーラーは、復号キーを埋め込んだマニフェストファイルとともにDNSCat2バックドアをサイレントで展開します。

検知を回避するために、このマルウェアは動的なAPI名ハッシュ化とホスト固有の暗号化を使用し、標的システムでのみ有効化されます。これにより、サンドボックス環境での実行を防ぎ、フォレンジックの可視性を低下させます。

永続性は、不正なWindowsサービスを作成し、障害や再起動後に自動再起動することで確保されます。DNSCat2はポート53を介してコマンド＆コントロールを管理し、暗号化通信を通じて正規のDNSトラフィックを模倣します。

アクセスを取得した後、アクティブなRDPセッションから盗まれた特権トークンを使用してVasilekバックドアが展開されます。これはTelegramボットを介してファイル探索、スクリーンショット、キーストロークの記録、システムメタデータの収集を行います。グループは、MimikatzのようなインメモリツールやPSExec、Metasploitなどのリモート実行ユーティリティを使用して横方向に拡散します。

さらに、ステルス性を維持しアクセスを拡張するために、Gostのような暗号化プロキシを展開し、しばしば侵害された内部ホストをリレーとして使用します。最後に、データを流出させ、Pryanikワイパーを展開してシステムを消去し、業務を妨害します。

Cyber Partisansによる自動化ツールと高度な回避戦術の使用は、ハクティビストの高度化を示しており、適応的な検知と対応戦略が求められます。

• 環境内のIoC（侵害の痕跡）を監視し、異常を特定する。
• Windows環境を最新の状態にパッチ適用し、多要素認証で保護する。
• 包括的かつ全方位的な脅威評価を実施し、死角や改善点を明らかにする。

※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。

本稿は、KPMGインドが発行している「Threat Intelligence Advisories 」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。

• PXA Stealer－東南アジア発の情報窃取型マルウェアが世界に拡大（8/12）
• JSCEAL－暗号資産プラットフォームを標的とするJavaScriptマルウェア（8/19）