トップへ

ロシアの攻撃者APT29はNSOなどのエクスプロイト使用の可能性──Google TAGが指摘

2024年08月30日 07:31  ITmedia NEWS

ITmedia NEWS

 米GoogleのThreat Analysis Group(TAG)は8月29日(現地時間)、ロシアが支援するサイバー攻撃者「APT29」(別名:Midnight Blizzard、NOBELIUM、UNC2452、Cozy Bear)が一連のサイバー攻撃で、NSO GroupやIntellexaなどの商用監視ツールベンダーが作成したものと「同じか酷似した」iOSおよびAndroidのエクスプロイトを使用していることを確認したと発表した。


【その他の画像】


 この攻撃は、2023年11月から2024年7月にかけて行われたもので、TAGによると、攻撃に使われた「nデイ脆弱性」(ゼロデイ脆弱性と異なり、既知の脆弱性のこと)は既に修正されているが、アップデートされていないスマートフォンは影響を受けるという。


 APT29は、モンゴル政府の複数のWebサイトを標的とする「水飲み場型攻撃」にエクスプロイトを採用した。水飲み場型攻撃とは、標的がよく訪れるWebサイトを侵害し、悪意あるコードを仕込むことで、標的に気づかれずにマルウェアなどを感染させる攻撃手法だ。


 TAGは、APT29が使ったエクスプロイトは、商用監視ツールベンダーであるイスラエルNSO GroupやギリシャIntellexaなどが使っているものとほぼ同じだと指摘する。


 APT29は、2023年11月にモンゴル政府のサイトを侵害してエクスプロイトを配信するiframeを潜ませた。これにより、iOS 16.6.1以前搭載のiPhoneユーザーからcookieを入手。2024年8月にはGoogleのChromeに影響を与えるエクスプロイトを悪用し、Androidユーザーも攻撃した。


 これらのエクスプロイトはNSO GroupとIntellexaのみが把握しているもので、APT29が独自で作成した可能性は低いという。


 TAGは、「APT29がこれらのエクスプロイトをどのように入手したかは不明だが、われわれの調査は、商用監視ベンダーが開発したものが危険な攻撃者に広まっていることを示している」と語った。「ユーザーと組織には、保護のためにパッチを迅速に適用し、ソフトウェアを完全に最新の状態に保つことを強く勧める」