ロシアと連携するTAG-70が新たなスパイ活動で欧州政府と軍のメールサーバーを標的に
Recorded FutureのInsikt Groupは、少なくとも2020年12月以降、ベラルーシとロシアの代理で活動し、ヨーロッパと中央アジアの政府、軍隊、国のインフラ機関に対してサイバースパイ活動を行っていると思われる脅威アクターTAG-70を特定しました。TAG-70は、Winter Vivern、TA473、UAC-0114という別名で他のセキュリティベンダーによって報告された活動と重複しています。
2023年10月から12月にかけて実行された最新のキャンペーンでは、TAG-70は、主にジョージア、ポーランド、ウクライナの80を超える組織を標的とし、Roundcubeウェブメールサーバーのクロスサイトスクリプティング(XSS)の脆弱性を悪用しています。このキャンペーンは、2023年2月にInsikt Groupによって報告されたインフラストラクチャを含む、ウズベキスタン政府のメールサーバーに対する追加のTAG-70活動に関連しています。
TAG-70によるRoundcubeウェブメールサーバーへの攻撃は、ロシアと連携した脅威攻撃グループによるメールソフトウェアへの攻撃の直近の一例にすぎません。2023年6月、Insikt Groupは、ロシア政府が支援するサイバースパイグループBlueDelta(APT28、Fancy Bear)がウクライナ全土の脆弱なRoundcubeインストールを標的とし、2022年にMicrosoft Outlookの重大なゼロデイ脆弱性であるCVE-2023-23397を悪用したことを発見しました。SandwormやBlueBravo(APT29、Midnight Blizzard)といった他の有名なロシアの脅威アクターグループも、以前さまざまなキャンペーンでメールソリューションを標的にしていました。
2023年10月のTAG-70s Roundcubeエクスプロイトの被害者の地理的分布(出典:Recorded Future)
このキャンペーンにおいては、Insikt Groupは2023年3月16日からRecorded Future Network Intelligenceを使用してウズベキスタンの経済研究改革センターに属する被害者のIPアドレスからの不審なアクティビティを検出しました。被害者のIPアドレスはドメインbugiplaysec[.]comとTCPポート443経由で通信していることが確認されました。当時はIPアドレス176.97.66[.]57に解決されていました。このデータは、TCPポート7662でコマンド&コントロール(C2)IPアドレス198.50.170[.]72に中継されたと思われます。これはTAG-70管理の198.50.170[.]72(Tor経由)であると疑われています。CERT-UAはドメインbugiplaysec[.]comを2023年2月にTAG-70に変更しました。
Insikt Groupは、ウクライナのウズベキスタン共和国大使館に登録されたIPアドレスと以前に報告されたC2ドメインocsp-reloads[.]com(IPアドレス 38.180.2[.]23 に解決)との間で同様のアクティビティを観察しました。この追加のC2は受信したデータをTCPポート1194のIPアドレス86.105.18[.]113に転送した可能性があり、TAG-70は同様にTor経由でC2に接続した可能性があります。
2023年3月のTAG-70運用インフラ(出典:Recorded Future)
2023年7月27日、新しいTAG-70ドメインhitsbitsx[.]comがIPアドレス176.97.66[.]57に解決されました。Insikt Groupは、マルウェアリポジトリ(SHA256:ea22b3e9ecdfd06fae74483deb9ef0245aefdc72f99120ae6525c0eaf37de32e)にアップロードされたJavaScriptベースのマルウェアサンプルからもこのドメインを検出しました。発見されたJavaScriptマルウェアは、ESETが説明したTAG-70の以前のRoundcubeエクスプロイトで使用された第2段階のローダーと一致します。このJavaScriptは、悪意のあるメールからXSS経由で読み込まれ、Base64エンコードされたJavaScriptのペイロード(jsBodyBase64)をデコードするために使用されます。その後、ペイロードは、新しく作成されたスクリプトタグ内のRoundcubeウェブページのドキュメントオブジェクトモデル(DOM)に挿入されます。
図3に示すJavaScriptペイロードjsBodyBase64の内容から、アクターがジョージア国防省のドメインmail[.]mod[.]gov[.]geを狙っていたことがわかります。このペイロードの構造はESETのレポートで説明されているものと重複していますが、機能は異なります。被害者のメールボックスの内容を盗み出すのではなく、ユーザーをRoundcubeからログアウトさせ、新しいサインインウィンドウを表示します。被害者が認証情報を送信すると、アカウント名、ユーザー名、パスワードがC2サーバに送信され、Roundcubeにログインされます。
Insikt Groupはまた、2022年11月の関連するJavaScriptサンプル(SHA256:6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26)も特定しました。この古いサンプルはドメインbugiplaysec[.]comでホストされており、同じJavaScriptローダー手法を使用し、同様の認証情報窃取ペイロードを備えていました。ペイロード内の内容から、ウクライナ国防省を標的にしたものと思われます。
侵害された電子メールサーバーは、特にウクライナで進行中の紛争の文脈において、重大なリスクを表しています。 彼らは、ウクライナの戦争努力、外交関係、および連合パートナーに関する機密情報を暴露する可能性があります。 さらに、ロシアとオランダのイラン大使館を標的にしていることは、イランの外交活動、特にウクライナにおけるロシアへの支援を評価する上で、より広範な地政学的関心があることを示唆している。 同様に、グルジア政府機関に対するスパイ活動は、欧州連合(EU)とNATO加盟に対するグルジアの願望を監視することへの関心を反映している。
緩和戦略
TAG-70のキャンペーンによってもたらされるリスクを軽減するために、組織は、環境内の侵害の兆候(IoC)を積極的に探しながら、Roundcubeインストールにパッチが適用され、最新の状態であることを確認する必要があります。TAG-70 の攻撃手法の洗練性と政府機関や軍事組織を標的としていることから、強力なサイバーセキュリティ対策と積極的な脅威インテリジェンスの取り組みの必要性が強調されます。TAG-70の活動の広範囲にわたる性質と、国家安全保障に及ぼす潜在的なその影響は、影響を受ける組織と政府機関が警戒と準備を整える緊急性を浮き彫りにしています。
注:本レポートの概要は2024年2月16日に発表され、2024年10月29日に更新されました。当初の分析と調査結果に変更はありません。
分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。
付録A — 侵害を示す指標
| ドメイン: bugiplaysec[.]コム hitsbitsx[.]コム ocsp-reloads[.]コム レセカス[.]コム IPアドレス: 38.180.2[.]23 38.180.3[.]57 38.180.76[.]31 86.105.18[.]113 176.97.66[.]57 176.97.76[.]118 176.97.76[.]129 198.50.170[.]72 マルウェアサンプル (SHA256): 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26 EA22B3E9ECDFD06FAE74483DEB9EF0245AEFDC72F99120AE6525C0EAF37DE32E |
付録B — MITRE ATT&CK手法
| 戦術:手法 | ATT&CKコード |
| 初期アクセス: フィッシング | T1583.001 |
| 実行: クライアント実行のためのエクスプロイト | T1583.003 |
| 固執: 有効なアカウント | T1583.004 |
| 資格情報へのアクセス: クレデンシャルアクセスの悪用 | T1566.002 |
| 資格情報へのアクセス: 入力キャプチャ | T1203 |
| 発見: ファイルとディレクトリの検出 | T1203 |
| 徴収: 電子メール収集 | T1203 |
| コマンド&コントロール: 非標準ポート | T1203 |
関連