ロシアと関連が疑われる複数の脅威アクターが、2025年3月初旬からウクライナや人権に関係する個人や組織を「積極的に」標的にし、Microsoft 365アカウントへの不正アクセスを狙っています。
Volexityによると、この高度にターゲットを絞ったソーシャルエンジニアリング作戦は、以前に記録されたデバイスコードフィッシングと呼ばれる手法を利用した攻撃からのシフトを示しており、これらのキャンペーンの背後にいるロシアの敵対者が、レーダーに引っかからないように自らの技術を積極的に洗練させていることを示しています。
「これらの最近観察された攻撃は、ターゲットとの一対一のやり取りに大きく依存しており、脅威アクターはターゲットにリンクをクリックさせ、Microsoftが生成したコードを送り返させる必要があります」と、セキュリティ研究者のCharlie Gardner、Josh Duke、Matthew Meltzer、Sean Koessel、Steven Adair、Tom Lancasterは詳細な分析で述べています。
少なくともUTA0352とUTA0355として追跡されている2つの異なる脅威クラスターが攻撃の背後にいると評価されていますが、これらがAPT29、UTA0304、UTA0307と関連している可能性も排除されていません。
最新の攻撃セットは、正当なMicrosoft OAuth 2.0認証ワークフローを悪用することを目的とした新しい手法の使用が特徴です。脅威アクターは、さまざまなヨーロッパ諸国の役人になりすまし、少なくとも1件のケースでは、ウクライナ政府のアカウントを侵害して被害者を騙し、Microsoftが生成したOAuthコードを提供させてアカウントを制御します。
SignalやWhatsAppなどのメッセージングアプリがターゲットに連絡するために使用され、さまざまなヨーロッパの政治家とのビデオ通話やプライベートミーティングへの参加、またはウクライナを中心とした今後のイベントへの登録を招待します。これらの努力は、被害者をMicrosoft 365インフラストラクチャ上にホストされたリンクをクリックさせることを目的としています。
「ターゲットがメッセージに応答すると、会議の合意された時間を実際にスケジュールする方向に会話が急速に進みます」とVolexityは述べています。「合意された会議時間が近づくと、仮のヨーロッパの政治家が再び連絡を取り、会議に参加する方法についての指示を共有します。」
指示は文書の形を取り、その後、仮の役人がターゲットに会議に参加するためのリンクを送信します。これらのURLはすべて、Microsoft 365の公式ログインポータルにリダイレクトされます。
具体的には、提供されたリンクは公式のMicrosoft URLにリダイレクトするように設計されており、その過程でMicrosoft認証トークンを生成し、URIの一部またはリダイレクトページの本文内に表示されます。その後、攻撃は被害者を騙してコードを脅威アクターと共有させることを目的としています。
これは、認証されたユーザーをinsiders.vscode[.]devのVisual Studio Codeのブラウザ内バージョンにリダイレクトし、そこでトークンがユーザーに表示されることで達成されます。被害者がOAuthコードを共有すると、UTA0352は最終的に被害者のMicrosoft 365アカウントにアクセスできるアクセストークンを生成します。
Volexityは、ユーザーを「vscode-redirect.azurewebsites[.]net」というウェブサイトにリダイレクトし、そこからlocalhost IPアドレス(127.0.0.1)にリダイレクトするキャンペーンの初期バージョンも観察しました。
「これが起こると、認証コードを含むユーザーインターフェースを表示する代わりに、コードはURLにのみ表示されます」と研究者たちは説明しました。「これにより、ユーザーのブラウザでレンダリングされると空白のページが表示されます。攻撃者は、ユーザーがブラウザからURLを共有するように要求し、そのコードを取得する必要があります。」
2025年4月初旬に特定された別のソーシャルエンジニアリング攻撃では、UTA0355がすでに侵害されたウクライナ政府のメールアカウントを使用してターゲットにスピアフィッシングメールを送信し、その後SignalとWhatsAppでメッセージを送信したとされています。
これらのメッセージは、ウクライナの「残虐行為犯罪」の調査と起訴に関する努力や国際的なパートナーとの協力に関連するビデオ会議にターゲットを招待しました。この活動の最終的な目的はUTA0352と同じですが、重要な違いがあります。
脅威アクターは、他のケースと同様に、正当なMicrosoft 365認証APIを悪用して被害者のメールデータにアクセスします。しかし、盗まれたOAuth認証コードは、被害者のMicrosoft Entra ID(旧Azure Active Directory)に新しいデバイスを永久に登録するために使用されます。
次の段階では、攻撃者はターゲットに二要素認証リクエストを承認させてアカウントを乗っ取るために、第二ラウンドのソーシャルエンジニアリングを実行します。
「このやり取りでは、UTA0355が被害者に対して、会議に関連するSharePointインスタンスへのアクセスを得るために二要素認証(2FA)リクエストを承認するよう求めました」とVolexityは述べています。「これは、被害者の組織によって設定された追加のセキュリティ要件を回避し、メールにアクセスするために必要でした。」
この攻撃が特に効果的である理由は、ログイン活動、メールアクセス、デバイス登録が、被害者の位置に一致するようにジオロケートされたプロキシネットワークを通じてルーティングされ、検出の努力をさらに複雑にしていることです。
これらの攻撃を検出し、軽減するために、組織は新たに登録されたデバイスを監査し、メッセージングプラットフォームでの未承諾の連絡に関連するリスクについてユーザーを教育し、組織のリソースへのアクセスを承認済みまたは管理されたデバイスのみに制限する条件付きアクセスポリシーを実施することが推奨されます。
「これらの最近のキャンペーンは、すべてのユーザーインタラクションがMicrosoftの公式インフラストラクチャ上で行われることから利益を得ています。これらの攻撃では、攻撃者がホストするインフラストラクチャは使用されていません」と同社は付け加えました。
「同様に、これらの攻撃には、ユーザーが明示的にアクセスを許可しなければならない(したがって、組織によって簡単にブロックされる可能性がある)悪意のあるまたは攻撃者が制御するOAuthアプリケーションは関与していません。すでに同意が与えられているMicrosoftのファーストパーティアプリケーションの使用は、この手法の予防と検出を非常に困難にしています。」