ロシア連邦軍参謀本部情報総局(GRU)に関連する攻撃者が、継続中のキャンペーンの一環として、西側に拠点を置く重要インフラを、特にエネルギー分野に重点を置いて標的にしてきたと、Amazon Threat Intelligenceが月曜日の報告書で述べた。このキャンペーンは2021年にさかのぼるという。
Amazon Integrated Securityの最高情報セキュリティ責任者(CISO)であるCJ Moses氏はブログ投稿で、同脅威グループは今年初め、脆弱性の悪用から離れ、Amazon Web Services上でホストされている設定不備のネットワークエッジデバイスを主要な初期侵入ベクターとして重視することで、作戦を簡素化したと述べた。
研究者らは、攻撃者が使用した悪性インフラが、APT44およびSeashell Blizzardとしても知られるSandwormに関連する作戦と重複しているとし、この点が活動がロシアのGRUに関連しているという確信を高めていると述べた。
Amazonは、このキャンペーンに起因するとした攻撃件数や、2021年に最初の攻撃波が発生して以降、活動のペースがどのように変化したかについては明らかにしなかった。同社は、侵入の影響を受けた顧客に通知し、侵害されたEC2インスタンスを修復し、さらなる調査を支援するためにパートナーおよび影響を受けたベンダーとインテリジェンスを共有したと述べた。
Amazonによると、ロシアの国家支援型脅威グループは、電力会社、エネルギー供給事業者、同業界に特化したマネージドセキュリティサービスプロバイダーなど、エネルギー分野の複数の西側拠点組織を引き続き標的にしている。
研究者らは、この脅威グループがコラボレーションプラットフォーム、ソースコードリポジトリ、クラウドベースのネットワークインフラを持つ組織、北米および欧州の重要インフラ提供者、そして複数地域にまたがる通信事業者も標的にしていると述べた。
Amazonによると、攻撃は通常、AWS上でホストされている侵害済みの顧客ネットワークエッジデバイスから始まり、その後、認証情報を盗み、盗んだ認証情報を被害組織の他のサービスやインフラに対して再利用してアクセスを維持する目的で、ネットワークを通過するデータを取得しようと試みる。
Moses氏は、AWS上でホストされているネットワークエッジデバイスの侵害は同社インフラの弱点によるものではなく、顧客側の不適切なデバイス設定によるものだと強調する。ロシアのGRUに関連する攻撃者は、エンタープライズルーターおよびルーティングインフラ、大規模組織向けの仮想プライベートネットワーク、リモートアクセスゲートウェイ、ネットワーク管理アプライアンスを標的にしてきた。
研究者らによると、このキャンペーンは当初、2021年から2024年にかけて脆弱性の悪用に依存しており、WatchGuardに影響するCVE-2022-26318、Confluenceに影響するCVE-2021-26084およびCVE-2023-22518、Veeamに影響するCVE-2023-27532などが含まれるという。
しかし今年は、設定不備のネットワークエッジデバイスを狙う方向へと移行し、攻撃者はより低コストで同じ戦略目標を達成できるようになった。
「顧客の設定不備を狙う行為は少なくとも2022年以降継続していましたが、攻撃者は2025年にこの活動への継続的な注力を維持しつつ、ゼロデイおよび既知(N-day)脆弱性の悪用への投資を減らしました」とMoses氏はブログ投稿で述べた。「攻撃者は、より検知されやすい脆弱性悪用活動を通じて自らの作戦が露見するリスクを大幅に低減しながら、これを実現しています。」
Sandwormは、過去10年で最も悪名高い国家支援型脅威グループの一つだ。同グループは主に、ロシア周辺地域の政府、防衛、輸送、エネルギー、メディア、市民社会組織を標的にしている。また、NATO加盟国を含む西側の選挙システムや機関を繰り返し標的にしてきた。別々の3回の事例で、同グループはサイバー攻撃によってウクライナの電力配電を妨害することに成功している。
翻訳元: https://cyberscoop.com/amazon-threat-intel-russia-attacks-energy-sector-sandworm-apt44/
