UNC1151として知られる脅威アクターは、GhostwriterおよびFrostyNeighborという別名でも追跡されており、東欧全域でスピアフィッシング活動をさらに拡大させています。
このグループは歴史的にベラルーシおよびロシアの国家利益と連動しており、2020年にメディアサイトをハッキングして政治的なデマ情報を植え付けたことで悪名を轟かせました。
最新の脅威インテリジェンスによると、同グループは認証情報の窃取に軸足を大きく移しており、要人を標的とするインフラを急速に拡大しています。
ベラルーシの民主化活動家ユーリ・フバレビッチ氏を狙った最近の攻撃では、Gmailユーザーおよびウクライナのメジャーなメールポータルの認証情報を盗むことを目的とした、より大規模なネットワークの存在が明らかになりました。
フバレビッチ氏を標的にした攻撃では、本物そっくりに作り込まれたスピアフィッシングメールが使われました。メールはGoogleのセキュリティ警告を装ったものでした。
ロシア語で書かれたこのメッセージは、不審なアカウントアクティビティが検出されたとして、ログイン情報の確認を促す内容でした。
記載されたリンクをクリックすると、侵害されたウクライナのウェブサイトに誘導され、そこから偽のGoogleログインページへリダイレクトされます。その裏では、攻撃者が多要素認証(MFA)を巧みに回避する仕組みを構築していました。
攻撃者はWebSocket接続を使ってパスワードと認証コードをリアルタイムで傍受し、即座に自分たちのサーバーへ転送していました。このライブリレー方式により、SMSやワンタイムパスワード(OTP)による保護をすり抜けることが可能でした。
攻撃者は、Bunny CDNやCloudflareといった広く利用されているコンテンツデリバリーネットワーク(CDN)を経由してトラフィックをルーティングすることで、悪意あるサーバーの実際の所在地を隠そうとしていました。
セキュリティ研究者たちは、インターネットスキャンツールを使ってドメインをホストしている実際のIPアドレスを特定することで、このインフラの正体を暴きました。
過去の証明書データを分析した結果、偽の認証ドメインがポーランドに所在する露出状態のIPアドレスで稼働していることが判明しました。
この致命的なオペレーションセキュリティの失敗により、攻撃者のCDNによる隠蔽が剥がされ、バックエンドシステムが丸裸になりました。
この露出したポーランドのIPアドレスをさらに調査したところ、通常とは異なるネットワークポートで稼働する複数のアクティブなウェブサーバーが見つかりました。
ポート3002にHTTPリクエストを送信すると、「VPS2 endpoint only for WebSocket」と記された非常に特徴的なエラーメッセージが返されました。
この独自のシグネチャは、関連インフラを追跡するうえで有力な起点となりました。この固有のフィンガープリントを手がかりに、調査員は同じサーバー挙動を示す3つの追加IPアドレスを特定しました。
Censysの調査によると、新たに発見されたこれらのサーバーには、正規のセキュリティ通知やアカウント確認ポータルを装った大量の不正ドメインが展開されていました。
攻撃者は被害者を巧みに騙して機密の認証情報を詐取するために、本物と見紛うような欺瞞性の高いドメインを登録していました。
これらのデジタル証明書をマッピングすることで、サイバーセキュリティコミュニティはフバレビッチ氏への攻撃が孤立した政治的事件ではなく、大規模かつ継続的な認証情報詐取キャンペーンのほんの一部に過ぎないことを確認しました。
注意: IPアドレスおよびドメインは、誤った名前解決やリンクのクリックを防ぐため、意図的に無害化(例:[.])されています。再有効化はMISP、VirusTotal、SIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/ghostwriter-targets-email-users/