ロシアと関連が疑われる脅威アクターが、被害者のメールにアクセスするために設計された新しいソーシャルエンジニアリング戦術の一環として、アプリケーション固有のパスワード(またはアプリパスワード)と呼ばれるGoogleアカウント機能を利用していることが観察されています。
この高度に標的を絞ったキャンペーンの詳細は、Google脅威インテリジェンスグループ(GTIG)とCitizen Labによって明らかにされており、この活動は米国国務省を装うことを目的としています。
“少なくとも2025年4月から6月初めにかけて、このアクターはロシアの著名な学者や批評家を標的にし、アプリケーション固有のパスワード(ASP)を設定するようターゲットを説得するために、広範な関係構築とカスタマイズされた誘いを頻繁に使用しました。”とGTIGの研究者Gabby RonconeとWesley Shieldsは述べました。
“ターゲットがASPパスコードを共有すると、攻撃者は被害者のメールボックスへの持続的なアクセスを確立します。”
この活動は、GoogleによってUNC6293として追跡されている脅威クラスターに帰属されており、ロシア国家支援のハッキンググループであるAPT29(別名BlueBravo、Cloaked Ursa、CozyLarch、Cozy Bear、ICECAP、Midnight Blizzard、The Dukes)に関連している可能性が高いとされています。
ソーシャルエンジニアリングは、ターゲットとの関係を構築するために数週間にわたって展開され、疑念を抱かせるような圧力や緊急性を誘発するのではなく、信頼を築くことを目的としています。
これには、会議の招待状に偽装した無害なフィッシングメールを送信し、信頼性を持たせるためにCC欄に”@state.gov”のメールアドレスを含む少なくとも4つの異なる架空のアドレスを含めることが含まれます。
“ターゲットは『これが正当でないなら、これらの国務省の職員の一人が何かを言うだろう、特に私が返信してCC欄に彼らを残しておけば』と考えるかもしれません。”とCitizen Labは述べました。
“攻撃者は、国務省のメールサーバーがすべてのメッセージを受け入れるように設定されており、アドレスが存在しない場合でも『バウンス』応答を発信しないことを知っていると考えています。”
これは、これらの攻撃が被害者を騙して16桁のパスコードを提供させるために綿密に計画され実行されていることを示しており、攻撃者に「内部職員と外部パートナー間の安全な通信」を可能にするという名目でメールボックスへのアクセスを許可しています。
Googleは、これらのアプリパスワードを、2段階認証(2FA)が有効になっているユーザーのGoogleアカウントにアクセスするための、セキュリティが低いアプリやデバイスのための方法として説明しています。
“2段階認証を使用すると、一部のセキュリティが低いアプリやデバイスはGoogleアカウントへのアクセスがブロックされることがあります。”と同社は述べています。”アプリパスワードは、ブロックされたアプリやデバイスがGoogleアカウントにアクセスするための方法です。”
最初のメッセージは、ターゲットからの返信を引き出し、会議を設定することを目的としており、その後、偽の国務省クラウド環境に安全にアクセスし、コードを共有するためにアプリパスワードを作成する一連の手順をリストしたPDFドキュメントが送信されます。
“攻撃者はその後、ASPを使用するためにメールクライアントを設定し、最終的には被害者のメール通信にアクセスし読むことを目的としている可能性が高いです。”とGTIGは述べました。”この方法はまた、攻撃者がアカウントに持続的なアクセスを持つことを可能にします。”
Googleは、ウクライナをテーマにした第2のキャンペーンを観察し、攻撃者が主に住宅プロキシやVPSサーバーを使用して被害者のアカウントにログインし、検出を回避していると述べました。同社は、キャンペーンによって侵害されたアカウントを保護するための措置を講じたと述べています。
UNC6293のAPT29との関連は、今年の初めからMicrosoft 365アカウントへの不正アクセスを得るために、デバイスコードフィッシングやデバイスジョインフィッシングのような新しい技術を活用した一連の類似したソーシャルエンジニアリング攻撃から生じています。
デバイスジョインフィッシングは、特に被害者を騙してMicrosoftが生成したOAuthコードを攻撃者に送り返させ、アカウントを乗っ取る点で注目に値します。
“2025年4月以降、Microsoftは、サードパーティアプリケーションメッセージやメールを使用して、会議の招待を参照し、正当な認証コードを含む悪意のあるリンクを配信するために、ロシアと関連が疑われる脅威アクターを観察しました。”とMicrosoftは先月明らかにしました。
“リンクをクリックすると、デバイス登録サービスのトークンが返され、脅威アクターのデバイスがテナントに登録されることが可能になります。”
翻訳元: https://thehackernews.com/2025/06/russian-apt29-exploits-gmail-app.html