ロシアの攻撃者APT29はNSOなどのエクスプロイト使用の可能性──Google TAGが指摘

　米GoogleのThreat Analysis Group（TAG）は8月29日（現地時間）、ロシアが支援するサイバー攻撃者「APT29」（別名：Midnight Blizzard、NOBELIUM、UNC2452、Cozy Bear）が一連のサイバー攻撃で、NSO GroupやIntellexaなどの商用監視ツールベンダーが作成したものと「同じか酷似した」iOSおよびAndroidのエクスプロイトを使用していることを確認したと発表した。

　この攻撃は、2023年11月から2024年7月にかけて行われたもので、TAGによると、攻撃に使われた「nデイ脆弱性」（ゼロデイ脆弱性と異なり、既知の脆弱性のこと）は既に修正されているが、アップデートされていないスマートフォンは影響を受けるという。

　APT29は、モンゴル政府の複数のWebサイトを標的とする「水飲み場型攻撃」にエクスプロイトを採用した。水飲み場型攻撃とは、標的がよく訪れるWebサイトを侵害し、悪意あるコードを仕込むことで、標的に気づかれずにマルウェアなどを感染させる攻撃手法だ。

　TAGは、APT29が使ったエクスプロイトは、商用監視ツールベンダーであるイスラエルNSO GroupやギリシャIntellexaなどが使っているものとほぼ同じだと指摘する。

　APT29は、2023年11月にモンゴル政府のサイトを侵害してエクスプロイトを配信するiframeを潜ませた。これにより、iOS 16.6.1以前搭載のiPhoneユーザーからcookieを入手。2024年8月にはGoogleのChromeに影響を与えるエクスプロイトを悪用し、Androidユーザーも攻撃した。

　これらのエクスプロイトはNSO GroupとIntellexaのみが把握しているもので、APT29が独自で作成した可能性は低いという。

　TAGは、「APT29がこれらのエクスプロイトをどのように入手したかは不明だが、われわれの調査は、商用監視ベンダーが開発したものが危険な攻撃者に広まっていることを示している」と語った。「ユーザーと組織には、保護のためにパッチを迅速に適用し、ソフトウェアを完全に最新の状態に保つことを強く勧める」