Palo Alto Networksは7月19日(米国時間)、「Cloaked Ursa (APT29) Hackers Use Trusted Online Storage Services」において、ロシアの持続的標的型攻撃(APT: Advanced Persistent Threat)グループがクラウドストレージサービスを悪用してキャンペーンを展開したことを伝えた。Google DriveおよびDropBoxの2つのクラウドストレージサービスがロシアのAPTグループによる最新のキャンペーンで悪用されたことが判明した。
ロシアのAPTグループであるCloaked Ursa(別名: APT29、Nobelium、Cozy Bear)が、データの窃取やペイロードの配布用にクラウドストレージサービスを悪用していたことがわかった。Cloaked Ursaはロシア政府と関係があるとされているAPTグループで、複数の米国に対するサイバー攻撃に関与したとされている。米国と英国はともに、このグループがロシア対外情報庁(SVR: Sluzhba vneshney razvedki Rossiyskoy Federatsii、Служба внешней разведки)に帰属していると声明を発表している。
Palo Alto NetworksによってCloaked Ursaの最近のキャンペーンで、2022年5月から6月にかけてヨーロッパのNATO加盟国が標的となったことが明らかとなった。フィッシングメールには悪意のあるペイロードのドロッパーとして機能する悪意のあるHTMLファイルへのリンクが含まれたPDFファイルが添付されていたとのことだ。
HTMLのリンクをクリックすると悪意のあるISOフアイルがダウンロードされ、さらにISOファイルによって作成された.lnkファイルをクリックするとデータがGoogle Driveなどのクラウドストレージに流出する仕組みになっているという。
Palo Alto Networksは、近年のキャンペーンではクラウドストレージサービスを使ってマルウェアの展開を難解にするなど、洗練された能力が示されていると指摘。このようなキャンペーンがサイバー犯罪の新たな戦術となっているとし、クラウドストレージサービスのユビキタスな性質と世界中の顧客の信頼性がキャンペーンの検出を困難にさせているとしている。