ロシア国家が支援する脅威グループおよび提携している脅威グループは、政府、重要インフラ、商業部門全体にわたるターゲット化されたネットワークへの初期アクセスを獲得するために、Remote Desktop Protocol(RDP)、Virtual Private Networks(VPN)、サプライチェーン侵害、および高度なソーシャルエンジニアリングを組み合わせています。
このマルチベクトル攻撃アプローチにより、境界防御を回避し、正当なトラフィックに紛れ込み、スパイ行為と破壊工作のための長期的な永続性を維持できます。
ロシアのオペレータは、RDPやVPNゲートウェイなどの露出したリモートアクセスサービスを悪用して初期の足がかりを得続けており、しばしば不十分に保護されたエンドポイントに対して力ずくおよび認証情報スタッフィング攻撃を使用しています。
有効な認証情報が取得されると、攻撃者はRDPまたはVPN上で正当なユーザーとしてログインし、初期段階の侵入トラフィックを通常のリモートワーク活動と区別することが難しくなります。
同時に、ロシアのクラスターがVPNおよびエッジデバイスをパスワード推測とパッチが当たっていない脆弱性の悪用でターゲットにしているのが観察されており、これらのアプライアンスでの監視がしばしば従来のエンドポイントと比較して限定的であるという事実を悪用しています。
ロシアと関連のある高度な永続的脅威(APT)グループはまた、強化されたフロントラインの防御をバイパスするためにサプライチェーン攻撃に多額の投資を行っています。
ソフトウェアサプライヤー、マネージドサービスプロバイダー、または小規模な地域パートナーを侵害することで、彼らは悪意のある更新プログラムをプッシュするか、信頼できるネットワーク相互接続を悪用して、最小限の直接露出で高価値のターゲットに移動できます。
2024~2025年のCERTおよびベンダーレポートは、ロシア軍事情報に関連するサブクラスターが複数のヨーロッパ諸国のサプライヤー企業をターゲットにして、ゼロデイまたは最近公開された脆弱性を悪用する悪意のあるドキュメントを配信する作戦を説明しています。
rnboの研究によると、悪意のあるRDP設定ファイルがスピアフィッシングメールで配信されるキャンペーンがあり、これらのファイルが開くと被害者を攻撃者制御のサーバーに自動的に接続し、明白なマルウェア実行なしでリモートデスクトップアクセスを付与します。
これらの侵入はしばしばITサービスプロバイダー、ロジスティクスパートナー、またはクラウドホストされたビジネスアプリケーションをターゲットにしており、単一の侵害から複数の下流の顧客への特権的なアクセスパスを攻撃者に付与します。
RDP、VPN、サプライチェーンが悪用されている
ソーシャルエンジニアリングは依然として主要な初期アクセスベクトルであり、ロシアのグループがスピアフィッシング、OAuth、デバイスコードフィッシング、およびメッセージングアプリの悪用を使用して認証情報および多要素トークンを盗んでいます。
2025年に文書化されたキャンペーンには、Microsoft 365をターゲットにしたフィッシングOAuth ワークフローおよびデバイスコードフロー、ユーザーを騙して攻撃者制御のアプリケーションに疑わしいサイトでパスワードを入力することなくメールボックスとクラウドデータへの永続的なアクセスを付与させることが含まれます。
研究者はまた、ロシアの行為者がSignalおよび他の暗号化アプリなどの安全なメッセージングプラットフォームを悪用し、被害者のアカウントを攻撃者のデバイスに静かにリンクする悪意のあるQRコードを送信することで、リアルタイムのメッセージ傍受とアカウント乗っ取りを可能にしていることを観察しています。
古典的なスピアフィッシング詐欺と信頼できる組織の偽装と組み合わせて、これにより攻撃者は認証情報を収集し、いくつかのシナリオでMFAをバイパスし、盗まれたセッションを使用してRDP、VPN、またはクラウド管理コンソールにピボットできます。
防御者は、必須のMFA、厳密なネットワークセグメンテーション、および異常なRDPおよびVPNログインの継続的な監視(特に新しい場所またはデバイスからの)を備えたリモートアクセスサービスを強化することをお勧めします。
組織はまた、サプライヤーリスク管理を強化し、エッジおよびVPNデバイスの迅速なパッチを適用し、OAuth/デバイスコード同意プロンプトとQRコードベースのソーシャルエンジニアリングに焦点を当てたユーザー教育を含む堅牢なアンチフィッシングコントロールを展開する必要があります。
翻訳元: https://gbhackers.com/rdp-vpns-supply-chains-exploited/
