Amazonの脅威インテリジェンスチームによると、ロシア国家支援の脅威アクターは、標的とする重要インフラ組織のシステムへのアクセス獲得において、脆弱性の悪用よりも設定ミスを優先しているようだ。
この悪意ある活動は、広く知られるロシアの脅威アクターSandwormに関連付けられており、Amazonの専門家は、攻撃はロシアのGRU軍事情報機関に関連するハッカーによって実行されている可能性が高いと結論づけている。
Amazonはまた、BitdefenderがCurly COMradesとして追跡しているハッカーとのインフラの重複もいくつか確認しており、彼らが侵害後の活動を担っていた可能性がある。
過去5年間、Amazonは西側諸国のエネルギー関連組織、北米および欧州の重要インフラ、そしてクラウド上でホストされたネットワークインフラを持つさまざまな種類の組織を狙った攻撃を確認している。
このテック大手は2021年から2025年にかけて脅威アクターの攻撃を監視しており、今年に至るまで、彼らはしばしばゼロデイおよび既知(n-day)脆弱性の悪用によって初期アクセスを獲得していた。
2021年から2024年に悪用された脆弱性の例としては、WatchGuardの欠陥CVE-2022-26318、Confluenceの欠陥CVE-2021-26084およびCVE-2023-22518、そしてVeeam製品の欠陥CVE-2023-27532が挙げられる。
攻撃者が初期アクセスのために設定ミスのあるデバイスを標的にしていたことは以前から観測されていた。しかし2025年以降、Amazonの脅威インテリジェンスチームは、脆弱性悪用の減少と、設定ミスのあるネットワークエッジデバイスを狙う動きの増加を確認している。
「この戦術的な適応により、アクターの露出とリソース消費を抑えつつ、同様の作戦上の成果、認証情報の窃取、そして被害組織のオンラインサービスおよびインフラへの横展開が可能になる」と、Amazon said。
ロシアのハッカーは、エンタープライズ向けルーター、VPNコンセントレーターおよびリモートアクセスゲートウェイ、コラボレーションプラットフォーム、ネットワーク管理アプライアンス、プロジェクト管理システムを標的にしていることが観測されている。
Amazonが攻撃を監視できたのは、標的となったネットワークエッジデバイスがAWS上でホストされていたためであり、顧客がデバイスを安全に設定していなかったことが、容易に侵入され悪用され得る「格好の標的」となり、初期アクセスに使われた。
攻撃者はまた、ネイティブのパケットキャプチャ機能を活用してトラフィックを傍受し、そこから認証情報を収集していたことも確認されている。得られた認証情報により、脅威アクターは被害者のオンラインサービスおよびインフラに対してリプレイ攻撃を実行でき、横展開が可能になった。
Amazonはこのキャンペーンを妨害するための措置を講じ、被害者に通知した。
同社はここ数カ月、脅威インテリジェンス分野での活動を強めている。ゼロデイ、悪意あるNPMパッケージ、およびイランによるサイバー支援型の実力行使攻撃に関わる攻撃について詳細を明らかにしている。
