ロシアのサイバー脅威アクターは、2022年以降、西側の物流企業や技術企業を標的とした国家支援のキャンペーンに関与しているとされています。
この活動は、ロシアの総参謀本部主情報局(GRU)第85主特別サービスセンター、軍事ユニット26165に関連するAPT28(別名BlueDelta、Fancy Bear、またはForest Blizzard)によって組織されていると評価されています。
キャンペーンの標的には、ウクライナへの外国援助の調整、輸送、配達に関与する企業が含まれており、これはオーストラリア、カナダ、チェコ、デンマーク、エストニア、フランス、ドイツ、オランダ、ポーランド、イギリス、アメリカの機関からの共同勧告によるものです。
「このサイバースパイ活動を目的としたキャンペーンは、物流企業や技術企業を標的とし、以前に公開されたTTPの混合を使用しており、ウクライナおよび隣接するNATO諸国でのIPカメラの大規模な標的化に関連している可能性があります」と公報は述べています。
この警告は、フランスの外務省が2021年以降、複数の省庁、防衛企業、研究機関、シンクタンクを含む12の団体に対するサイバー攻撃を行っているとしてAPT28を非難した数週間後に出されました。
先週、ESETは、2023年以降、Roundcube、Horde、MDaemon、Zimbraなどのさまざまなウェブメールサービスのクロスサイトスクリプティング(XSS)脆弱性を悪用して、東ヨーロッパの政府機関や防衛企業、アフリカ、ヨーロッパ、南アメリカの政府を標的にしているとされるOperation RoundPressと呼ばれるキャンペーンを明らかにしました。
最新の勧告によると、APT28によって組織されたサイバー攻撃には、パスワードスプレー、スピアフィッシング、スパイ活動のためのMicrosoft Exchangeメールボックス権限の変更が含まれていると言われています。
キャンペーンの主な標的には、NATO加盟国およびウクライナの防衛、輸送、海事、航空交通管理、ITサービスの分野にわたる組織が含まれます。ブルガリア、チェコ、フランス、ドイツ、ギリシャ、イタリア、モルドバ、オランダ、ポーランド、ルーマニア、スロバキア、ウクライナ、アメリカの少なくとも数十の団体が標的にされたと推定されています。
標的となったネットワークへの初期アクセスは、以下の7つの異なる方法を利用して行われたと言われています –
- 資格情報を推測するためのブルートフォース攻撃
- 政府機関や西側のクラウドメールプロバイダーを装った偽のログインページを使用して資格情報を収集するためのスピアフィッシング攻撃
- マルウェアを配信するためのスピアフィッシング攻撃
- Outlook NTLM脆弱性の悪用 (CVE-2023-23397)
- Roundcubeの脆弱性の悪用 (CVE-2020-12641, CVE-2020-35730, CVE-2021-44026)
- 企業VPNなどのインターネットに接続されたインフラストラクチャの公開脆弱性やSQLインジェクションの悪用
- WinRARの脆弱性の悪用 (CVE-2023-38831)
ユニット26165のアクターが上記の方法のいずれかを使用して足場を得ると、攻撃はポストエクスプロイトフェーズに進み、重要なポジションにいる追加の標的を特定するための偵察を行い、輸送を調整する責任者や被害者の企業と協力する他の企業を特定します。
攻撃者はまた、Impacket、PsExec、リモートデスクトッププロトコル(RDP)などのツールを使用して横移動を行い、CertipyやADExplorer.exeを使用してActive Directoryから情報を抽出することも観察されています。
「攻撃者はOffice 365ユーザーのリストを見つけて抽出し、持続的なメール収集を設定するための手順を取るでしょう」と機関は指摘しました。「攻撃者は、メールボックス権限の操作を使用して、侵害された物流企業で持続的なメール収集を確立しました。」
侵入のもう一つの顕著な特徴は、HeadLaceやMASEPIEのようなマルウェアファミリーを使用して、侵害されたホストに持続性を確立し、機密情報を収集することです。OCEANMAPやSTEELHOOKのようなマルウェアのバリアントが物流やITセクターを直接標的にした証拠はありません。
データ抽出中、脅威アクターは被害者の環境に基づいて異なる方法を使用し、PowerShellコマンドを使用してZIPアーカイブを作成し、収集したデータを自分たちのインフラストラクチャにアップロードするか、Exchange Web Services(EWS)やインターネットメッセージアクセスプロトコル(IMAP)を使用してメールサーバーから情報を吸い上げることが多いです。
「ロシアの軍事部隊が軍事目標を達成できず、西側諸国がウクライナの領土防衛を支援するための援助を提供したため、ユニット26165は援助の配達に関与する物流企業や技術企業の標的を拡大しました」と機関は述べました。「これらのアクターは、ウクライナの国境検問所でインターネットに接続されたカメラも標的にし、援助の出荷を監視および追跡しています。」
この開示は、Cato Networksが、疑わしいロシアの脅威アクターがTigris Object Storage、Oracle Cloud Infrastructure(OCI)Object Storage、Scaleway Object Storageを利用して、ClickFixスタイルの誘惑を使用してユーザーを騙し、Lumma Stealerをダウンロードさせる偽のreCAPTCHAページをホストしていることを明らかにした際に行われました。
「Tigris Object Storage、OCI Object Storage、Scaleway Object Storageを利用した最近のキャンペーンは、以前の方法を基にしており、検出を回避し、技術的に熟練したユーザーを標的にする新しい配信メカニズムを導入しています」と研究者のGuile Domingo、Guy Waizel、Tomer Agayevが述べました。
翻訳元: https://thehackernews.com/2025/05/russian-hackers-exploit-email-and-vpn.html