ロシアのハッカーが偽のMicrosoft Entraページを使用したEvilginxフィッシングで20以上のNGOを侵害

Microsoftは、以前には文書化されていなかった脅威活動のクラスターについて明らかにしました。これは、ロシアに関連する脅威アクターであるVoid Blizzard（別名Laundry Bear）に起因し、「世界的なクラウドの悪用」とされています。

少なくとも2024年4月から活動しているこのハッキンググループは、主にロシア政府の目的にとって重要な組織を標的とするスパイ活動に関連付けられています。これには、ヨーロッパや北米の政府、防衛、交通、メディア、非政府組織（NGO）、および医療分野が含まれます。

「彼らはしばしば、オンラインマーケットプレイスから購入したと思われる盗まれたサインイン情報を使用して組織にアクセスします」とMicrosoftの脅威インテリジェンスチームは今日発表されたレポートで述べています。「内部に入ると、大量のメールやファイルを盗みます。」

Void Blizzardによる攻撃は、NATO加盟国やウクライナを不均衡に狙っていることが判明しており、敵対者がロシアの戦略的目的をさらに進めるために情報を収集しようとしていることを示唆しています。

具体的には、脅威アクターはNATO加盟国やウクライナに直接的な軍事または人道的支援を提供する国の政府組織や法執行機関を標的にしていることが知られています。また、ウクライナの教育、交通、防衛分野を狙った成功した攻撃も行われたとされています。

これには、2024年10月にウクライナの航空組織に属するいくつかのユーザーアカウントの侵害が含まれています。これらのアカウントは、2022年にロシアの参謀本部情報総局（GRU）に関連する脅威アクターであるSeashell Blizzardによって以前に標的にされていました。

攻撃は、ロシア政府にとって価値があるとみなされる標的を侵害するために設計された機会主義的で高ボリュームの努力として特徴付けられています。初期アクセス方法には、パスワードスプレーや盗まれた認証情報のような洗練されていない技術が含まれます。

いくつかのキャンペーンでは、脅威アクターはサイバー犯罪地下で利用可能なコモディティ情報スティーラーログから取得したと思われる盗まれた資格情報を使用してExchangeやSharePoint Onlineにアクセスし、侵害された組織からメールやファイルを収集しています。

「脅威アクターは、場合によっては公開されているAzureHoundツールを使用して、侵害された組織のMicrosoft Entra ID構成を列挙し、そのテナントに属するユーザー、役割、グループ、アプリケーション、デバイスに関する情報を取得しています」とMicrosoftは述べています。

つい先月、Windowsメーカーは、ハッキンググループが「より直接的な方法」に移行してパスワードを盗む様子を観察したと述べています。これは、被害者を騙してログイン情報を手放させるために、敵対者中間者（AitM）ランディングページを使用したスピアフィッシングメールを送信することを含みます。

この活動には、ヨーロッパおよびアメリカの20以上のNGOを標的にするためにMicrosoft Entra認証ポータルを偽装するタイポスクワットドメインの使用が含まれます。メールメッセージは、ヨーロッパ防衛安全保障サミットの主催者からのものであると主張し、サミットへの偽の招待状を含むPDF添付ファイルが含まれていました。

PDF文書内には、攻撃者が制御するドメイン（”micsrosoftonline[.]com”）にリダイレクトする悪意のあるQRコードが含まれています。このフィッシングページは、オープンソースのEvilginxフィッシングキットに基づいていると考えられています。

初期アクセスを得た後の侵害後の行動には、Exchange OnlineとMicrosoft Graphの悪用が含まれ、ユーザーのメールボックスやクラウドホストされたファイルを列挙し、その後、大量のデータ収集を促進するために自動化を利用します。選択されたインスタンスでは、脅威アクターがWebクライアントアプリケーションを介してMicrosoft Teamsの会話やメッセージにアクセスしたとも言われています。

「多くの侵害された組織は、過去または場合によっては同時に、Forest Blizzard、Midnight Blizzard、およびSecret Blizzardを含む他の有名なロシア国家アクターによる標的と重なっています」とMicrosoftは述べています。「この交差は、これらの脅威アクターの親組織に割り当てられた共有のスパイ活動および情報収集の関心を示唆しています。」