出典: The Hacker News – https://thehackernews.com/2025/10/russian-hackers-target-ukrainian.html
原題: Russian Hackers Target Ukrainian Organizations Using Stealthy Living-Off-the-Land Tactics
ロシア系ハッカー、巧妙なLotL攻撃でウクライナ組織を標的に
近年、ロシアに起因するサイバー攻撃グループがウクライナの組織を標的に、極めて巧妙な「Living-off-the-Land(LotL)」攻撃を展開しています。本記事では、SymantecとCarbon Blackの調査報告を基に、この攻撃の手口や背景、そしてその影響について詳しく解説します。
主要なポイント
- LotL戦術の活用: 攻撃者はマルウェアの使用を最小限に抑え、Windowsの標準ツールや正規の二重用途ソフトウェアを悪用して、検知を回避しながら長期間にわたりネットワークに潜伏しました。
- ウェブシェルの設置: 公開サーバーの脆弱性を突き、Localoliveというウェブシェルを設置。これにより、次段階のペイロードを送り込む足掛かりを確保しました。
- 多様な侵入後活動: レジストリの保存、プロセスの列挙、パスワード管理ツールの標的化、リモートデスクトップ接続の許可設定、OpenSSHの導入など、多彩な操作を実施しています。
- Sandwormとの関連性: 一部のツールや手口はロシア系のSandwormグループの過去の活動と類似していますが、直接的な証拠は見つかっていません。
- ロシアのサイバー犯罪エコシステムの変化: 国際的な法執行の圧力により、ロシア政府とサイバー犯罪集団の関係がより管理的かつ戦略的になっていることが報告されています。
技術的な詳細や背景情報
LotL(Living-off-the-Land)とは、攻撃者が標的のシステムに元々備わっている正規のツールや機能を悪用し、マルウェアを使わずに攻撃を行う手法です。これにより、セキュリティソフトによる検知が困難になります。
今回の攻撃では、Localoliveというウェブシェルが使用されました。ウェブシェルとは、ウェブサーバー上に設置される不正なスクリプトで、攻撃者が遠隔からコマンドを実行できるようにするものです。Localoliveは、Sandwormグループのサブグループが過去に使用していたことが知られており、Chiselやplink、rsockstunといった次段階のツールの配布に使われます。
攻撃者はPowerShellコマンドを駆使し、Microsoft Defenderのスキャン除外設定や定期的なメモリダンプの取得、リモートデスクトップ(RDP)接続の許可設定、OpenSSHサーバーのインストールと設定などを行い、持続的なアクセスと情報収集を実現しました。
影響や重要性
この攻撃は、国家間のサイバー戦争の一環として、重要なインフラや政府機関、ビジネスサービス組織が狙われていることを示しています。特に、マルウェアを極力使わずに正規ツールを悪用する手法は、従来の防御策を回避しやすく、検知と対応が非常に難しいのが特徴です。
また、ロシアのサイバー犯罪エコシステムが国家の管理下に置かれつつある現状は、攻撃の背後に国家の意図や戦略的な動きが絡んでいる可能性を示唆しています。これにより、攻撃の規模や頻度が今後も増加する恐れがあり、国際的なサイバー防衛体制の強化が求められます。
まとめ
ロシア系の攻撃者によるウクライナ組織へのLotL攻撃は、高度な技術と戦略的な狙いを持ち、検知困難な手法で長期間にわたり情報窃取やネットワーク支配を行っています。今回の事例は、正規ツールの悪用がいかに危険であるかを示すとともに、国家間のサイバー攻撃の複雑化を浮き彫りにしました。
今後は、システムの脆弱性管理の徹底、異常なシステム挙動の早期検知、そして多層的な防御策の導入が不可欠です。また、国際的な協力によるサイバー犯罪対策の強化も重要な課題となるでしょう。
