ロシアに関連する脅威アクターであるTurlaは、TinyTurla-NGと呼ばれるバックドアを展開するために、名前のないヨーロッパの非政府組織(NGO)の複数のシステムに感染させた。攻撃者は最初のシステムを侵害し、永続性を確立し、これらのエンドポイントで実行されているアンチウイルス製品に対する除外を追加することで、初期の侵害後の行動の一環として行った。Turlaはその後、データの抜き取りとネットワーク内の追加のアクセス可能なシステムへの移動を行うために、Chiselを介して追加の通信チャネルを開いた。感染したシステムが2023年10月に早くも侵害された証拠があり、Chiselは2023年12月に展開され、そのツールを介して2024年1月12日頃にデータの抜き取りが行われた。TinyTurla-NGは、ポーランドのNGOを対象としたサイバー攻撃との関連で使用されていた後、先月サイバーセキュリティ会社によって初めて文書化された。Cisco TalosはThe Hacker Newsに対し、このキャンペーンは高度にターゲットを絞ったものであり、主にポーランドに位置する少数の組織を対象としていると述べた。攻撃チェーンには、Turlaが初期アクセスを悪用してMicrosoft Defenderアンチウイルスの除外を設定し、検出を回避し、TinyTurla-NGをドロップし、”System Device Manager”サービスとして偽装した悪意のある”sdm”サービスを作成して永続化することが含まれる。TinyTurla-NGは、コマンドアンドコントロール(C2)サーバーへの興味のあるファイルの抜き取り、カスタムビルドのChiselトンネリングソフトウェアの展開を行うバックドアとして機能する。正確な侵入経路はまだ調査中である。
【ニュース解説】
ロシアに関連するサイバー脅威アクターであるTurlaが、TinyTurla-NGというバックドアを用いて、ヨーロッパの非政府組織(NGO)のシステムに侵入したという報告があります。この攻撃は、最初にシステムを侵害し、その後、アンチウイルス製品を回避するための設定変更を行い、データの抜き取りや追加のシステムへのアクセスを可能にするための通信チャネルを開設するという手法で行われました。
この攻撃の特徴は、攻撃者が特定の組織を非常に狙い撃ちにしている点にあります。特に、ポーランドに位置するNGOが主なターゲットとされており、これらの組織はポーランドの民主主義の向上や、ロシアの侵攻に対するウクライナの支援に関わる活動を行っていると報告されています。TinyTurla-NGを介して、攻撃者は感染したシステムから重要な情報を抜き取り、さらに他のシステムへと侵入を広げることが可能になります。
このような攻撃は、対象となる組織にとってはもちろんのこと、一般のインターネットユーザーや他の組織にとっても重大なセキュリティリスクを示しています。特に、政府やNGOなどの組織が保持する機密情報が外部に漏洩することは、国家安全保障に関わる問題を引き起こす可能性があります。
この攻撃によって浮き彫りになるのは、高度なサイバー攻撃に対する防御の重要性です。特に、アンチウイルスソフトウェアの除外設定を悪用されるケースがあるため、セキュリティ対策は常に最新の状態に保つ必要があります。また、組織内でのセキュリティ意識の向上や、定期的なセキュリティチェックの実施も重要です。
長期的な視点では、国際的な協力によるサイバーセキュリティの強化や、サイバー攻撃に対する共通の対策基準の策定が求められます。また、攻撃を受けた際の迅速な対応や情報共有も、被害の拡大を防ぐ上で重要な役割を果たします。
この事件は、サイバーセキュリティの脅威がいかに進化し続けているかを示しており、個々の組織だけでなく、社会全体での警戒と対策の強化が求められています。
from Russia Hackers Using TinyTurla-NG to Breach European NGO's Systems.
