出典: Shutterstock経由のTravel mania
Fancy Bear (APT28) は、ロシアの主な情報総局(GRU)に関連する国家支援のハッキンググループであり、サイバー諜報活動の一環として、特にウクライナを支援する物流およびIT企業への攻撃を強化しています。
今週、米国と英国を含む11カ国の21の情報機関からの共同勧告は、攻撃が西側の技術企業や航空、海運、鉄道輸送部門の企業を標的にしていると説明しました。攻撃者は、スピアフィッシング、資格推測、およびMicrosoft Exchangeの脆弱性を利用した攻撃を組み合わせて、被害者のネットワークにアクセスしています。
脅威の増大
「物流企業および技術企業の経営者とネットワーク防御者は、[Fancy Bear] の標的化による脅威の増大を認識すべきです」と、共同勧告の署名者の一つである米国のサイバーセキュリティ・インフラストラクチャーセキュリティ庁(CISA)が投稿しました。標的にされたセクターの組織は、Fancy Bearの既知の戦術、技術、手順(TTP)および妥協の指標を監視し、脅威ハンティングを強化する必要があります。「標的化を前提としてネットワーク防御を構築せよ」とCISAは勧告しました。
Fancy Bearは、APT28、Sofacy、Forest Blizzard、Sednit、軍事部隊26165など、さまざまな名前で追跡されている長年にわたる強力なロシアの脅威アクターです。年を経るごとに、セキュリティ研究者はこのグループを多くの高プロファイルな攻撃に関連付けてきました。その被害者には、民主党全国委員会、世界アンチドーピング機関、ウクライナのエネルギー企業、および米国や他国の防衛請負業者が含まれています。このグループは、しばしば悪意のある添付ファイルやリンクを含むスピアフィッシングメールを使用してターゲット組織を侵害してきました。また、Xagentと呼ばれるカスタムマルウェアを使用して、横移動、データの抽出、および侵害されたネットワーク内での持続性を維持し、Microsoft Exchange Server、Outlook、およびその他のWindowsベースの技術の脆弱性を悪用しています。
関連:SideWinder APTがインドの隣国政府をスパイしていることが発覚
Fancy Bearは、西側の物流およびIT企業に対する継続的なキャンペーンにおいて、これらおよびその他のTTPを活用しており、強化されたパスワードスプレー技術やMicrosoft Exchangeメールボックスの権限操作を含んでいます。スピアフィッシングメールの件名は多岐にわたり、プロフェッショナルなトピックから成人向けのテーマまでさまざまです。多くの場合、Fancy Bearのアクターは侵害されたアカウントや無料のウェブメールアカウントとサービスを使用してスピアフィッシングメールを送信し、偽装ページをホストしています。
関連:Ivanti EPMMの悪用が以前のゼロデイ攻撃に関連
脆弱性の悪用
このキャンペーンの一環として、Fancy BearはCVE-2023-23397、Microsoft Outlookの特権昇格バグを悪用して、資格情報やNTLMハッシュを収集しています。2023年にMicrosoftがこのバグを公開した際、一部のセキュリティ研究者は、攻撃者がどれほど容易に悪用できるかを理由に、年内で最も深刻な脆弱性の一つと特定しました。
Fancy Bearがこのキャンペーンで悪用している他の脆弱性には、無料でオープンソースのRoundcubeメールクライアントの3つの重大な脆弱性であるCVE-2020-12641、CVE-2020-35730、およびCVE-2021-4402が含まれています。敵対者はこれらのバグを利用して任意のコマンドを実行し、メールアカウントにアクセスし、メールサーバーからデータを抽出していますとCISAは述べています。
「少なくとも2023年秋以来、アクターはWinRARの脆弱性(CVE-2023-38831)を利用し、アーカイブに埋め込まれた任意のコードを実行する手段として初期アクセスを得ていました」とCISAの勧告は述べています。「アクターは、このCVEを使用して準備された悪意のあるアーカイブをダウンロードする悪意のある添付ファイルや埋め込まれたハイパーリンクを含むメールを送信しました。」
攻撃が成功した後、攻撃者はネットワークを詳細に調査し、特に輸送物流を監督する従業員や被害者のサイバーセキュリティ部門のスタッフなど、戦略的なポジションにいる人々に焦点を当てて高価値のターゲットを特定しました。多くの高度な持続的脅威(APT)グループと同様に、Fancy Bearは横移動やその他の目的のために、Impacket、PsExec、リモートデスクトッププロトコル(RDP)などのネイティブコマンドや正当なオープンソースツールとプロトコルを活用しています。被害者には、防衛産業、港湾、空港、航空交通管理、ITサービス企業など、米国、フランス、ドイツ、イタリア、チェコ共和国、ブルガリアを含む十数カ国以上の組織が含まれています。さらに、同じキャンペーンの一環として、Fancy Bearは国境の検問所、軍事施設、鉄道駅、その他の重要な場所にあるプライベートIPカメラを侵害し、ウクライナへの物資の移動を監視しています。
関連:Bumblebeeマルウェアがトロイの木馬化されたVMwareユーティリティを介して飛行
CISAの勧告には、組織が標的にされたかどうかを確認するために使用できる妥協の指標やその他の脅威活動のマーカーがリストされています。Fancy Bearの標的にされている組織には、攻撃の影響を抑えるためのネットワークセグメンテーションの実施、ファイアウォール設定の更新、ネットワーク上のデバイス間での横方向の接続を試みるアラートの設定などの対策を講じることを推奨しました。他の推奨事項には、アクセスログを検査する自動化ツールの使用、特に機密情報を扱うシステムに対するエンドポイント検出と修復システムの使用、および公共VPNからのログインのブロックが含まれています。