コンテンツにスキップするには Enter キーを押してください

ロシアのハッカーが盗まれたアプリパスワードを使用してGmailのMFAを回避

投稿日 2025年6月23日

ロシアのハッカーが高度なソーシャルエンジニアリング攻撃でGmailのMFAを回避

ロシアのハッカーは、多要素認証を回避し、アプリ固有のパスワードを利用してGmailアカウントにアクセスします。これは、米国国務省の職員を装った高度なソーシャルエンジニアリング攻撃です。

この脅威アクターは、ロシアの著名な学者や批評家をターゲットにし、「洗練され、個別に対応した新しいソーシャルエンジニアリング攻撃」として説明される攻撃を行い、対象者を急かして行動を起こさせることはありませんでした。

4月から6月初旬にかけて、ハッカーは受信者にGmailアカウントへのアクセスを提供するアプリ固有のパスワードを作成し共有するよう説得するために、細心の注意を払って開発されたフィッシングメッセージを送信しました。

アプリ固有のパスワードは、二要素認証(2FA)が有効な場合に、セキュリティが低いまたは古いアプリケーションと見なされるサードパーティアプリ(例:メールクライアント)がGoogleアカウントにアクセスすることを許可するために設計されています。

Googleの脅威インテリジェンスグループのセキュリティ研究者は、このサイバーアクターをUNC6293として追跡しています。彼らは国家支援を受けており、ロシアの対外情報庁(SVR)傘下の脅威グループであるAPT29と関連している可能性があると考えています。

APT29は複数の名前(NobleBaron、Nobelium、Cozy Bear、CozyDuke、Midnight Blizzard)で追跡され、少なくとも2008年から活動しています。

そのターゲットには、政府ネットワーク、研究機関、シンクタンクが含まれます。

ゆっくりとしたフィッシング

学術研究グループThe Citizen Labは、ロシアの情報操作専門家Keir GilesをターゲットにしたUNC6293のスピアフィッシングキャンペーンの事件を調査しました。

攻撃は、Claudie S. Weberと署名されたメールから始まり、Gilesを「プライベートなオンライン会話」に招待するものでした。

メッセージはGmailアカウントから送信されましたが、複数の@state.gov メールアドレスがカーボンコピー(CC)行に含まれており、その中にはClaudie S. Weberのものもあり、公式な通信であるかのように見せかけていました。

研究者たちは、米国国務省に「Claudie S. Weber」が雇用されている証拠を見つけることができませんでした。

「攻撃者は、国務省のメールサーバーがすべてのメッセージを受け入れるように設定されており、アドレスが存在しない場合でも『バウンス』応答を出さないことを知っていると考えています」 – The Citizen Lab

Gilesが興味を示しつつも指定された日に利用できないかもしれないと述べた後、脅威アクターは彼を国務省の「MS DoS Guest Tenant」プラットフォームに招待し、「これにより、いつでも簡単に将来の会議に参加できるようになります」としました。

UNC6293が被害者を「安全なプラットフォーム」に参加させようと誘導
UNC6293が被害者を「安全なプラットフォーム」に参加させようと誘導
source: The Citizen Lab

Gilesはこれを受け入れ、Googleアカウントでアプリ固有のパスワードを作成する方法を詳述したPDFファイルが送られました。これは、ゲストユーザーとしてプラットフォームに登録するために必要でした。

欺瞞の後のステップでは、アプリ固有のパスコードを「US DoS管理者と共有して、外部ユーザーをGuest O365 Tenantに追加する」ことが含まれていました。

これに関する説明は指示に記載されており、Gmailアカウントを持つ外部ユーザーと米国国務省職員の間でプラットフォーム上での安全な通信を促進する代替ソリューションであるとされています。

ターゲットは、国務省のプラットフォームに安全にアクセスするためにアプリ固有のパスワードを作成し共有していると信じていますが、実際には攻撃者にGoogleアカウントへの完全なアクセスを与えていると、The Citizen Labの研究者は説明します。

UNC6293によるアプリ固有のパスワードの作成と共有の指示
UNC6293によるアプリ固有のパスワードの作成と共有の指示
source: The Citizen Lab

Googleの脅威インテリジェンスグループ(GTIG)の研究者は、このスピアフィッシングキャンペーンが少なくとも4月に始まり、6月初旬まで続いたことを確認しました

この期間中、彼らは2つのキャンペーンを特定しました。1つは米国国務省に関連するテーマを利用し、もう1つはウクライナとMicrosoftに関連する誘引を使用しました。

両方のキャンペーンには、インフラストラクチャ内で住宅用プロキシ(91.190.191[.]117)と仮想プライベートサーバー(VPS)サーバーが含まれており、脅威アクターが匿名で侵害されたメールアカウントにログインできるようにしていました。

The Citizen LabとGTIGによって観察された2つのソーシャルエンジニアリングキャンペーンは巧妙に作成され、複数の偽のアイデンティティ、アカウント、および欺瞞を強化するためのさまざまな資料に依存していました。

高度なフィッシング戦術でターゲットにされるユーザーは、通常、紛争、訴訟、またはアドボカシーに関連する注目度の高い問題に密接に関与している個人です。

熟練した攻撃者から彼らを守るために、Googleは高度な保護プログラムに登録することを推奨しています。これにより、アカウントのセキュリティ対策が強化され、アプリ固有のパスワードの作成や特定のパスキーを提供せずにログインすることができなくなります。


Tines Needle

なぜITチームは手動のパッチ管理をやめているのか

パッチ適用は複雑なスクリプト、長時間の作業、終わりのない緊急対応を意味していました。もう違います。

この新しいガイドでは、Tinesが現代のIT組織が自動化でどのようにレベルアップしているかを解説します。パッチを迅速に適用し、オーバーヘッドを削減し、戦略的な作業に集中できます — 複雑なスクリプトは不要です。

翻訳元: https://www.bleepingcomputer.com/news/security/russian-hackers-bypass-gmail-mfa-using-stolen-app-passwords/

Published in bleepingcomputer.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です