サイバー攻撃集団「Turla」は盗んだデータを保存するのにDropboxを利用していた

衛星回線を用いてサーバーの位置を秘匿しつつ政府機関を狙うサイバー攻撃集団「Turla」が、盗み出したデータを保存するのにオンラインストレージのDropboxを利用していたことがわかりました。

Turla Crutch: Keeping the “back door” open | WeLiveSecurity
https://www.welivesecurity.com/2020/12/02/turla-crutch-keeping-back-door-open/

Turla Crutch attacks Ministry of Foreign Affairs in an EU country, misuses Dropbox in cyber-espionage, ESET discovers | ESET
https://www.eset.com/us/about/newsroom/press-releases/turla-crutch-attacks-ministry-of-foreign-affairs-in-an-eu-country-misuses-dropbox-in-cyber-espionag-1/

Russian hacking group uses Dropbox to store malware-stolen data
https://www.bleepingcomputer.com/news/security/russian-hacking-group-uses-dropbox-to-store-malware-stolen-data/

セキュリティ会社・ESETの研究者が、これまでに文書化されていなかったバックドア型マルウェアと文書窃盗ツールを発見しました。このマルウェアは制作者により「Crutch」の名が与えられています。

「Crutch」を調べたところ、Tulraが2016年から2017年に用いていた第2段階のバックドア型マルウェア「Gazer」との間に似た部分が存在。Turlaの用いるマルウェアは他のグループと共有された例がみられないことから、「Crutch」はTurlaの用いるマルウェアであることが判明しました。

「Crutch」は、Turlaが用いている他のツールと同様に、特定のターゲットに対してのみ使用されていることが示唆されており、2015年から2020年初頭まで使われていたことが確認されています。

一方で、あるマシンではCrutchと第3段階のバックドア型マルウェア「FatDuke」が同時に存在しているのが確認されました。2つのマルウェアに相互作用を示す形跡はなく、それぞれに独立して同じマシンを攻撃した可能性があるそうです。

ESETによると、TurlaはあるEU所属国の外務省の複数マシンに対してCrutchのツールセットを使用したとのこと。ツールは、Turlaのオペレーターが管理するDropboxのアカウントに対して機密文書やその他のファイルを流出させるように設計されていました。

捕捉したファイルの動きの一部を時間軸に沿ってグラフ化したものが以下のグラフ。薄い緑はタイムスタンプを協定世界時(UTC)に合わせたときのもの、濃い緑はタイムスタンプを「UTC＋3」に合わせたもの。「UTC＋3」はトルコやサウジアラビア、ベラルーシ、ロシアのモスクワなどを含むタイムゾーン。タイムスタンプはオペレーターの作業時間を示しているといえるので、「UTC＋3」のタイムゾーンにいるオペレーターが、8時から20時ごろまで作業していると推定することができます。

なお、「Crutch」は第1段階のバックドアではなく、攻撃者がネットワークへの侵入を果たしたあとに展開するツールであるとみられます。2015年から2019年にかけてバックドアコマンドのあるバージョン1～3が利用されたのち、2019年にバックドアコマンドのサポートをやめ、ローカルドライブとリムーバブルドライブのファイルを自動的にDropboxにアップロードするバージョン4が登場したとのこと。

今回の発見は、Turlaが大規模で多様なツールを運用できるだけのリソースを抱える組織であるという認識を、さらに強化するものだとのことです。