Microsoft、Forest Blizzard(フォレスト・ブリザード)による攻撃要領の詳細な分析を公表
2024年4月22日Microsoft は、ロシアを拠点とする脅威アクターForest Blizzard(フォレスト・ブリザード)の活動に関する長期間にわたる調査結果を公表しました。
Microsoftによれば、少なくとも2020年6月、早ければ2019年4月以降、Forest Blizzardは、JavaScriptの制約ファイルを変更し、SYSTEMレベルの権限で実行することで、Windows Print Spoolerサービスの脆弱性CVE-2022-38028を悪用するために、GooseEggと呼ばれるツールを使用してきたとしています。
Microsoft は、Forest Blizzardが、ウクライナ、西ヨーロッパ、北米の政府機関、非政府組織、教育機関、運輸部門などの標的に対して、侵入後の活動の一部としてGooseEggを使用していることを確認しています。
目次
Forest Blizzardとは
Forest BlizzardはSTRONTIUM、ATP28とも呼ばれており、ロシア連邦の軍事情報機関であるロシア連邦軍参謀本部(GRU)主情報総局の26165部隊との関連が米国および英国政府により指摘されいます。
主に米国、欧州、中東の政府、エネルギー、運輸、非政府組織を標的とするが、破壊的な攻撃を行う他のGRU関連グループ等とは異なり、ロシア政府の外交政策支援のための戦略的な情報収集を主任務とすると考えられています。
セキュリティ研究者の中には、同様もしくは関連する活動を行うグループに対して、GRU Unit 26165、Sednit、Sofacy、Fancy Bear などの名称を使用している者もいます。
悪用している脆弱性(CVE-2022-38028、CVE-2023-23397)
CVE-2022-38028
Windows 印刷スプーラーの特権昇格の脆弱性
CVE-2023-23397
Microsoft Outlook の特権昇格の脆弱性
GooseEgg(ガチョウの卵)とは
GooseEgg は単純なランチャーツール(プログラム起動ツール)ですが、コマンドラインで指定されたアプリケーションを昇格された権限で実行させることができます。これにより、攻撃者は、リモートコードの実行、バックドアのインストール、侵害されたネットワーク内での横移動など、様々な悪意のある目的を達成することが可能になります。
推奨される対策
- セキュリティ更新プログラムの適用によるPrint Spooler の脆弱性を軽減
- EDRのブロックモードでの実行