GRUに関連する侵入グループAPT28(別名:Fancy Bear、Sofacy、Forest Blizzard、Pawn Storm)が、MooBootボットネットと侵害済みEdgeRouterを組み合わせ、耐久性の高いサイバー作戦基盤を構築するという注目すべき戦術転換を行っています。
この転換により、APT28がかねてより注力してきたNATO、ウクライナ、重要インフラへの攻撃が一層強化されています。従来のクラウドVPSや汎用ホスティングから主要機能をネットワークエッジへ移行することで、侵害したコンシューマー向けおよび小規模オフィス向けルーターを、認証情報の収集・プロキシ・悪意あるペイロードのホスティングのための、地理的に分散したステルス性の高いプラットフォームとして活用しています。
2022年から2026年にかけて観察された技術的手口によると、APT28はもともと犯罪グループによるボットネットとして開発されUbiquiti EdgeRouterデバイスを感染させるMooBootファミリーを、作戦基盤として転用していることが明らかになっています。
感染したEdgeRouterは持続的な足がかりおよびサービスノードとして機能しており、武器化されたOutlookのゼロクリック攻撃チェーンによって収集されたNet-NTLMv2ハッシュの中継に使用されています。
また、メールボックス乗っ取りのための認証フローのプロキシ処理、評判フィルターを回避するための住宅用IPへのクレデンシャルフィッシングランディングページのホスティング、ウェブメールのスクレイピングや二段階認証バイパスを実行する軽量Pythonツールのステージングにも活用されています。
SekoiaのThreat Detection & Research(TDR)チームは、APT28を数年にわたって追跡しています。この侵入グループはFancy Bear、Forest Blizzard、Sofacy、Pawn Storm、Sednit等の名称でも知られており、GRUの第26165部隊に公式に帰属されています。
FBIが主導した「Operation Dying Ember」とその後の勧告により、数百台の侵害済みEdgeRouterが明らかになりました。しかし、民間ベンダーによるその後のテレメトリデータからは、多くの残存するコールバックと一般ユーザーのデバイスが依然として悪用されていることが示されており、エッジベースのインフラを完全に排除することの困難さが浮き彫りになっています。
同時に、APT28はFrostArmadaキャンペーンによってMikroTikおよびTP-Linkデバイスを標的とし、エッジ侵害の概念を拡大させています。攻撃者はルーターのDHCP/DNS設定を書き換え、クライアントが攻撃者の管理するDNSリゾルバーに接続するよう誘導することで、Microsoft 365や類似サービスに対するAdversary-in-the-Middle(AitM)攻撃を可能にしています。
GRU系APT28によるMooBootボットネットの活用
このDNSハイジャックにより、認証トラフィックがAPT28のノードを経由するよう誘導され、OAuthトークンや認証メタデータが収集される可能性があります。これにより、被害者ネットワークに重厚なインプラントを展開することなく、長期的なアクセスが維持されています。
Lumen Black Lotus LabsとMicrosoftによる2026年のテレメトリ調査では、数万件に及ぶユニークIPと数百の影響を受けた組織が記録されており、広く普及したCPEデバイスを武器化した場合に攻撃者が達成可能な規模の大きさを示しています。
このエッジ中心の体制は、複数の作戦上の優位性をもたらしています。まず、住宅用および中小企業向けIPは正規のトラフィックに紛れ込み、IPブロッキングや不正利用ベースの対策を複雑にします。
次に、ルーター上のツールを活用することで標的ホスト上のフォレンジックの痕跡が最小化される一方、認証フローの傍受や軽量なクレデンシャル自動化(メールボックスの通知を読み取って動作するスクリプトやIMAPの設定操作など)が可能になります。
第三に、分散したトポロジーによりテイクダウンへの耐性が向上しています。MooBootの一部に対する法執行機関の妨害活動後も、攻撃者が管理するVPS、追加のボットネット、設定不備のコンシューマーデバイスが引き続き作戦を支援し続けていました。
こうしたエッジ活動の技術的な系譜は、APT28の従来の手口に直結しています。侵害したルーターを経由してNet-NTLMv2ハッシュを収集・中継するOutlookのゼロクリック攻撃は、以前から用いられてきた中間インフラ(X-Tunnel)を経由したデータ窃取とピボットの戦術を踏襲しています。
より最近のキャンペーンであるOperation Phantom Net Voxel、RoundPress、そしてLLMを活用したインフォスティーラーLameHugは、APT28が堅牢な内製インプラントを復活させながら、使い捨ての単一目的コンポーネントを作戦に組み込むという二面的なアプローチを採っていることを示しています。
EdgeRouterおよびFrostArmadaの技術は、スケーラブルな傍受機能とプロキシ層を提供することでこれらの能力を強化しており、スピアフィッシング、サーバーサイドのウェブメールXSS侵害、BeardShellやSlimagentといった専用バックドアを補完しています。
防御上の示唆は明確です。ネットワーク管理者はCPEを適切に保護し、ベンダーのファームウェアアップデートを適用し、強固なルーター認証情報を設定し、不要なリモート管理を無効化し、DNSおよびDHCP設定の異常を監視する必要があります。
企業の防御担当者は、異常なアウトバウンドSMB/NTLM認証、予期しないDNSリゾルバーの変更、クレデンシャル収集に使用されている住宅用IPを監視してください。
ベンダー、各国CERT、法執行機関の連携は引き続き不可欠です。これまでの協力体制(FBI、NSA、Microsoft、複数のCERTによる勧告を含む)によってテイクダウンや注意喚起が実現しましたが、持続的なリスクを完全に排除するには至っていません。
詳細な技術的コンテキストおよびインジケーターについては、SekoiaのTDRによるOperation Phantom Net Voxelのレポート、FBIとNSAによる侵害済みルーターに関する共同勧告、Lumen Black Lotus LabsによるFrostArmada分析を参照してください。
翻訳元: https://gbhackers.com/gru-linked-apt28-uses-moobot-botnet/
