APT29とは
APT29(別名 Cozy Bear、The Dukes、Midnight Blizzardなど)は、少なくとも2008年以降活動しているサイバースパイグループで、欧州およびNATO諸国の政府、シンクタンク、外交機関、エネルギー企業、政治組織などを標的に、きわめて秘匿性の高い侵入を行ってきました。
2025年初頭、APT29は特に欧州の外交ネットワークに焦点を移し、外務省を狙ったカスタマイズされたフィッシングキャンペーンを展開しました。
APT29は、信頼できる機関を装ったスピアフィッシングメールを送信し、ZIPアーカイブ(wine.zip)をダウンロードさせるリンクを配布することで攻撃を開始します。このZIPファイルを展開すると、PowerPoint形式のバイナリ(wine.exe)が含まれており、実行されるとダミーのDLLと悪意あるローダー(ppcore.dll)をサイドロードします。このローダーはGRAPELOADERとして知られ、ペイロードをメモリ上に密かに読み込みます。GRAPELOADERはユーザーのAppDataディレクトリに自身をインストールし、Runレジストリキーを利用して永続化を実現します。
このマルウェアは、カスタム文字列難読化とクリーンアップ、実行時API解決、DLLフック解除、ジャンクコード挿入、メモリ保護を利用したシェルコードの遅延実行といった回避技術を駆使します。GRAPELOADERはホストのフィンガープリントを取得し、システムデータを暗号化されたHTTPS経由でC2(コマンド&コントロール)サーバーに送信し、追加のシェルコードを取得してメモリ上で実行します。
このシェルコードはWINELOADERを展開し、RC4で自身を解凍、存在を難読化し、メモリから自己削除します。WINELOADERはメタデータを収集し、偽のWindows 7/EdgeのUser-Agent文字列を使用し、モジュール化されたC2チャネルを通じて通信を行い、認証情報の窃取やラテラルムーブメントを可能にします。
データの持ち出しは暗号化されたHTTPSチャネルを介して行われ、正規のトラフィックに紛れることで秘匿性を維持します。
APT29の秘匿性の高いスパイ活動、洗練されたマルウェアローダー、そして高度な回避技術は、積極的な脅威ハンティングと強固なサイバーセキュリティ体制を必要とします。
推奨される対策
- 環境内でIoC(侵害の痕跡)を監視し、異常を特定する。
- Windows環境を最新の状態に保ち、多要素認証で保護する。
- 盲点や改善点を明らかにするため、包括的かつ全方位的な脅威評価演習を実施する。
※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。
本稿は、KPMGインドが発行している「Threat Intelligence Advisories 」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。
