ロシア国家支援型の脅威アクターAPT28(別名:Fancy Bear、Forest Blizzard)は、サイバースパイ活動の戦術をゼロクリック脆弱性とエッジインフラの悪用へと積極的にシフトさせています。
最新の脅威インテリジェンスによると、GRUの第26165部隊として公式に帰属が確認されているこのグループは、OutlookのクリティカルなCVEを悪用し、NATOの加盟国、防衛関連組織、重要インフラ事業者からNet-NTLMv2ハッシュをひそかに窃取していることが明らかになっています。
今回のスパイキャンペーンの核心は、CVE-2023-23397の悪用にあります。これはMicrosoft Outlookにおけるゼロクリック型の特権昇格脆弱性です。
リンクのクリックや添付ファイルの開封を必要とする従来のフィッシング攻撃とは異なり、このエクスプロイトはユーザーの操作なしに自動的にトリガーされます。
APT28は細工を施したOutlookのリマインダーをターゲットのメールボックスに送信します。Outlookクライアントがこの悪意あるリマインダーを処理すると、攻撃者が制御するSMB(Server Message Block)共有への即時認証が強制的に行われます。
この強制認証の過程で、被害者のデバイスは自動的にNet-NTLMv2ハッシュを悪意あるサーバーへ送信します。脅威アクターはこのハッシュを利用してNTLMリレー攻撃を実行します。
この手法を使えば、APT28は従来のマルウェアやバックドアを被害者のネットワークに展開することなく、Microsoft Exchangeのメールボックスを乗っ取り、機密通信にアクセスすることができます。
このひそかな認証情報収集は、APT28の作戦手法が大きく進化していることを示しています。同グループはかつて使用していたX-Agentツールキットのような大規模なモノリシックインプラントから離れ、標的マシンへのフォレンジック上の痕跡を最小限に抑える、隠密性の高い単一目的の手法を好むようになっています。
NTLMリレー攻撃を容易にしつつ検出を回避するため、APT28は攻撃インフラを全面的に刷新しました。
標準的なVPS(仮想プライベートサーバー)のみに頼る従来の手法を捨て、侵害済みのSOHO(小規模オフィス・家庭用)エッジデバイスで構成された大規模ボットネットを経由して攻撃を行うようになっています。
Sekoiaの調査によると、APT28は数百台の侵害済みUbiquiti EdgeRouterで構成されるMooBotボットネットを乗っ取ったことがインテリジェンスレポートで確認されています。
これらの侵害済みルーターを活用することで、同グループは悪意あるトラフィックを一般消費者のIPアドレスに偽装することに成功しています。
この戦術により、攻撃者はターゲットのExchangeサーバーを保護するレピュテーションベースのセキュリティフィルターや侵入検知システムを容易に回避できます。
侵害済みルーターはGROオペレーターにとって二重の用途を持っています。第一に、窃取したNet-NTLMv2ハッシュのリレーノードとして機能し、被害者の脆弱なOutlookクライアントとターゲットサーバーの間を仲介します。
第二に、エッジから直接ウェブメール認証情報を収集するためのプロキシやカスタムPythonスクリプトをホストし、オペレーターの中央インフラを防御者の目から完全に隠蔽します。
ゼロクリックエクスプロイトと分散型エッジインフラを組み合わせたこの手法は、欧州の防衛組織にとって高度に洗練された脅威です。
APT28がツールキットを使い捨てコンポーネントに細分化し、新たなインフラを試みながら攻撃手法の精度を高め続けている中、防御側はエッジ向けサービスへのパッチ適用とNTLM認証経路の保護を優先し、こうした静かな侵害を阻止することが急務となっています。
翻訳元: https://cyberpress.org/apt28-steals-net-ntlmv2-hashes-via-outlook-flaw/
