Amazonのセキュリティ責任者によると、ロシア連邦軍参謀本部情報総局(GRU)が、エネルギー、通信、テック系プロバイダーを標的にした長年のキャンペーンの背後におり、認証情報を盗み、AWS上でホストされている設定不備のデバイスを侵害して、クレムリンのスパイに機密ネットワークへの持続的なアクセスを与えているという。
「このキャンペーンは、西側の重要インフラ、とりわけエネルギー分野に対する継続的な注力を示しており、作戦は2021年から現在に至るまで続いています」と、Amazon Integrated Securityの最高情報セキュリティ責任者(CISO)であるCJ Mosesは、月曜日の脅威レポートで述べた。「2026年に向けて、組織はネットワーク境界デバイスの保護と、認証情報リプレイ攻撃の監視を優先し、この持続的な脅威に対抗しなければなりません。」
Mosesは、注意を払うべきデバイスとして、エンタープライズ向けルーター、VPNコンセントレーター、リモートアクセスゲートウェイ、ネットワーク管理アプライアンスを挙げた。
また、ロシア側は、組織のコラボレーションおよびWikiプラットフォーム、さらにクラウドベースのプロジェクト管理ツールを標的にすることで、企業システムへのアクセスも試みているという。
AWSは、GRUの攻撃における被害者数に関するThe Registerの質問への回答を拒否した。
Mosesのブログによれば、ロシアの攻撃者の主な標的には、西側のエネルギー分野の組織とそのサプライヤー、北米および欧州の他の重要インフラ提供者、そしてクラウドでホストされたネットワークインフラを持つ組織が含まれる。
0デイからデバイスの設定不備へ
Amazon Threat Intelligenceは、世界的なインフラに対するサイバー侵入を2021年まで遡って追跡し、当初、ならず者たちは設定不備のデバイスを標的にし、CVE-2022-26318を悪用していた。これはWatchGuard FireboxおよびXTMアプライアンスにおける重大なセキュリティホールで、管理アクセスが露出している場合、未認証ユーザーが任意のコードを実行できるものだった。
攻撃者はその後、2022年から2023年にかけて、2つの重大なConfluence脆弱性であるCVE-2021-26084とCVE-2023-22518の悪用へ移行し、さらにVeeamの脆弱性(CVE-2023-27532)を悪用した。これは2024年にランサムウェア犯罪者にも悪用されたものだ。
Mosesによれば、少なくとも2022年以降、そして現在に至るまで、GRUは設定不備のネットワーク境界デバイスを執拗に攻撃してきたという。Mosesはまた、今年はNデイおよびゼロデイ脆弱性の悪用が減少していることにも言及した。
これは「懸念すべき進化」を示している。というのも、注目度の高いセキュリティ欠陥を悪用するのではなく、設定不備に穴を開けることで、攻撃者が「より検知されやすい脆弱性悪用活動を通じて自らの作戦を露呈するリスク」を「大幅に」低減できるからだ、と彼は付け加えた。
被害者のネットワークに侵入すると、犯人たちは、組織のネットワークアプライアンスソフトウェアを稼働させている侵害済みEC2インスタンスへの永続的な接続を確立した。
作戦を「継続的に妨害」
設定不備のネットワーク境界デバイスの多くは、AWS上で仮想アプライアンスとしてホストされており、同社の広報担当者によれば、クラウド大手は「活動を特定するたびに」攻撃者の作戦を「継続的に妨害」しているという。これには、影響を受けた顧客への通知、侵害されたEC2インスタンスの修復、業界パートナー、影響を受けたベンダー、法執行機関とのインテリジェンス共有が含まれる。
組織のネットワークインフラへの攻撃に加え、Amazonは、侵入者が被害者の認証情報を用いてオンラインサービスへのアクセスを試みる、体系的な認証情報リプレイ攻撃を観測した。クレムリン側の攻撃者がAWSサービスへの認証を試みた具体的なケースでは、成功しなかったとクラウド大手は述べている。
Amazonは、ロシア側が認証情報を盗む様子を直接観測しておらず、そのため、スパイがユーザーのログイン情報を収集している正確な仕組みは断定できない。Mosesは、デバイス侵害から認証試行までの時間差や、(デバイスではなく)被害者の認証情報が使われていることなど「複数の指標」から、サイバー工作員が主な収集手法としてパケットキャプチャとトラフィック分析を用いたことが示唆されると述べた。
このキャンペーンで使用された攻撃者のインフラと、セキュリティ企業BitdefenderがCurly COMradesとして追跡しているグループとの間には、いくらかの重なりがある。これを踏まえ、Amazonは、現在追跡している継続中の活動と、以前のCurly COMradesによるセキュリティインシデント(エンドポイントセキュリティ回避のためのHyper-V悪用、CurlyShellやCurlCatを含むカスタムインプラントの使用)が、より広範なGRUキャンペーンの一部である可能性があると評価している。
「この潜在的な作戦上の分業、すなわち一方のクラスターがネットワークアクセスと初期侵害に注力し、別のクラスターがホストベースの永続化と回避を担うという構図は、より広範なキャンペーン目標を支える専門化されたサブクラスターというGRUの作戦パターンと一致します」とMosesは書いている。
脅威状況を踏まえ、Amazonは組織がいくつかの「直ちに優先すべき対応」を取るよう提案している。そのToDoリストには、ネットワーク境界デバイスの監査の実施、ネットワークデバイス管理インターフェースとオンラインサービス間での認証情報再利用について全認証ログを見直すこと、想定外の送信元IPからアプライアンス管理ポータルへの対話型セッションを監視することが含まれる。
Amazonのセキュリティ警告は、先週、複数の米政府機関が20以上の国際パートナーとともに発出したガイダンスに続くものだ。そこでは、GRUと関連する親ロシア派ハクティビスト集団による攻撃から重要ネットワークを守るために、運用技術(OT)の所有者および運用者が実施すべき行動が概説されていた。
CISAもFBIも、Amazonが文書化したGRUキャンペーンに関するThe Registerの問い合わせに、直ちには回答しなかった。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/15/amazon_ongoing_gru_campaign/
