ロシア国家が後援する悪質なキャンペーンは、西側諸国の重要インフラ組織を標的にしてきたが、脆弱性の悪用から顧客ネットワークエッジデバイスの設定不備の悪用へと戦術をシフトさせている。
脅威主体は特定されていないままだが、Amazonは「高い確信度を持って」これをロシアの主情報総局(GRU)に帰属させている。同国の軍事情報機関であり、複数のサイバー脅威グループが関連していると考えられている。
同技術大手は、この脅威に関する最新の調査結果を12月15日のレポートで文書化した。
設定不備のエッジデバイスを標的とするシフト
Amazon Threat Intelligenceのセキュリティ研究者は、2021年から2025年の間に、この無名グループが世界的なインフラを標的にしていることを観察した。
同グループの典型的な標的は、西側諸国のエネルギーセクター組織、北米とヨーロッパの重要インフラプロバイダー、クラウドホストネットワークインフラを持つ組織である。
過去のキャンペーンには、2021年と2022年のWatchGuardの脆弱性(例:CVE-2022-26318)、2022年と2023年のConfluenceの脆弱性(例:CVE-2021-26084、CVE-2023-22518)、2024年のVeeamの脆弱性(例:CVE-2023-27532)の悪用が含まれていた。
しかし、Amazonは2025年に、同グループが脆弱性の悪用から離れ、Amazon Web Services(AWS)でホストされているものを含む、設定不備の顧客ネットワークエッジデバイスを標的にすることを好むようになり、被害者への初期アクセスを獲得していることに気付いた。
Amazonのレポートは、デバイスの設定不備がAWSクラウドインフラ上ではなく、顧客側にあることを強調している。
- エンタープライズルーターとルーティングインフラストラクチャ
- VPN集約装置とリモートアクセスゲートウェイ
- ネットワーク管理アプライアンス
- コラボレーションとwikiプラットフォーム
- クラウドベースのプロジェクト管理システム
「この戦術的適応により、同じ作戦成果である重要インフラネットワークへの永続的アクセス、認証情報収集、被害者組織のオンラインサービスとインフラストラクチャへの横展開が可能になる一方で、攻撃者の露出と資源消費を削減できる」と、Amazonの研究者は指摘した。
Amazonの研究者がこのグループで観察した他の戦術には、危険にさらされたインフラから認証情報を収集し、被害者組織のオンラインサービスに対する組織的なリプレイ攻撃を開始することが含まれている。
より大きなロシアのGRUキャンペーンの一部である可能性が高い
ロシアのGRUへの帰属は、Sandworm、APT44、またはSeashell Blizzardとして知られている別のGRU関連脅威グループにリンクされた以前の作戦とのインフラ重複に基づいている。
設定不備のエッジデバイスを標的にした最新キャンペーンは、Bitdefenderが「Curly COMrades」として追跡しているグループとのインフラ重複も含んでいる。
この作戦は、2025年11月4日にサイバーセキュリティ企業により文書化されたもので、Curly COMradesグループがMicrosoftのネイティブハイパーバイザー技術であるHyper-Vを悪用してエンドポイント検出応答(EDR)ソリューションを回避し、CurlyShellとCurlCatの2つのカスタムインプラントをデプロイしたことを示している。
「これらは、より広いGRUキャンペーン内の補完的な作戦を表す可能性があると評価する。1つのクラスターはネットワークアクセスと初期侵害に焦点を当て、別のクラスターはホストベースの永続性と回避を処理する」と、Amazonの研究者は述べた。
この作戦分割は「より広いキャンペーン目標をサポートする専門化されたサブクラスターのGRU作戦パターンと一致している」と、Amazonのレポートは結論づけた。
翻訳元: https://www.infosecurity-magazine.com/news/amazon-russian-gru-hackers-target/
