ロシア系の侵入グループStar Blizzard(別名:ColdRiverまたはCalisto)に関連する新たなスピアフィッシング活動が、サイバーセキュリティ研究者によって確認されました。
このグループは2017年から活動しており、複数の西側諸国政府によってロシアのFSBセンター18に帰属するとされています。
Sekoia.ioのTDRチームによる新たな分析によると、最新のインシデントは2025年5月と6月に2つの組織(国境なき記者団(RSF)を含む)から報告され、オペレーターがどのように認証情報収集の手法を洗練させたかが注目されています。
おなじみの侵入グループが標的を拡大
この新たなフィッシング攻撃の一連は、Star Blizzardがウクライナを支援する西側組織を長期的に標的にしてきた流れに続くものです。
このグループは信頼できる連絡先になりすまし、ターゲットに添付ファイルの欠落や不具合を理由にファイルの再送を依頼させることで知られています。被害者がファイルを要求すると、攻撃者はマルウェアやフィッシングページへのリンクを含む2通目のメッセージを送信します。
2025年3月のRSFに関するケースでは、正規の連絡先を装ったProtonMailアドレスから、コアメンバーに文書の確認を依頼するフランス語のメールが送信されましたが、ファイルは添付されていませんでした。
メンバーがファイルを要求すると、オペレーターは英語で返信し、侵害されたウェブサイトを経由したリンクをProtonDriveのURLとして送信しました。しかし、ProtonMailが関連アカウントをブロックしたため、ファイル自体は取得できませんでした。
続きを読む : ロシアのColdriverハッカーが新たな「NoRobot」マルウェアを展開
2人目の被害者は、PDFとしてラベル付けされたファイルを受け取りましたが、実際には.pdf拡張子を持つZIPアーカイブでした。攻撃の最終段階では、Calistoによく見られる偽装PDFが使われ、「暗号化されているためProtonDriveで開くように」と指示されていました。リンクは再び、侵害されたウェブサイト上のリダイレクターを経由してターゲットに送られました。
インフラは継続的な活動を示唆
TDRが分析したフィッシングキットは、account.simpleasip[.]org上にあり、カスタム構築されたものとみられます。
このキットは、Adversary-in-the-Middle(AiTM)構成を用いてProtonMailアカウントを標的とし、2要素認証(2FA)を中継します。アナリストは、パスワード欄にカーソルを固定し続けるためのJavaScriptや、CAPTCHAや2FAプロンプトを処理する攻撃者管理のAPIと連携するコードが注入されていることを発見しました。
主な観察点は以下の通りです:
-
改変されたProtonMailインターフェース要素
-
パスワード欄へのフォーカスの持続
-
APIベースの認証情報処理
Star Blizzardのインフラには、フィッシングページをホストするサーバーやAPIエンドポイントとして機能するサーバーが含まれていました。多くのドメインはNamecheapのサービスに紐付けられており、初期のものの一部はRegway経由で登録されており、アナリストがクラスターを追跡するのに役立っています。
「この脅威アクターに関する多くの公開情報があるにもかかわらず、CalistoはClickFix手法による認証情報収集やコード実行を目的としたスピアフィッシングキャンペーンを継続しています」とSekoiaは警告しています。
「攻撃キャンペーンの分析や活動クラスターへの帰属を希望するNGOがあれば、私たちはいつでも協力します。」
翻訳元: https://www.infosecurity-magazine.com/news/star-blizzard-targets-reporters/
