- AWSは、ロシアGRU関連グループが、設定不備のエッジデバイスを長年にわたり悪用し、欧米の重要インフラ内部に潜伏し続けてきたと述べている
- 活動はCurly COMradesと重なり、同グループのツールはHyper‑VとLinux VMを悪用して秘匿性の高い永続化を行う
- Amazonは、エッジ機器の緊急監査、認証情報の再利用チェック、不審な管理ポータルへのアクセス監視を強く求めている
専門家は、ロシアの国家支援を受けた脅威アクターが、ほぼ5年にわたりネットワーク機器の設定不備やさまざまな脆弱性を悪用して、西側の重要インフラ組織に永続的な足場を築いてきたと警告している。
新たな脅威レポート(va The Register)で、Amazon Integrated Securityの最高情報セキュリティ責任者(CISO)であるCJ Moses氏は、数年にわたり継続しているこのキャンペーンの規模を強調した。
「このキャンペーンは、西側の重要インフラ、とりわけエネルギー部門に対する持続的な注力を示しており、作戦は2021年から現在に至るまで続いています」とMoses氏は述べた。
目立たないところに隠れる
多くの場合、脅威アクターが注目しているのは、エンタープライズ向けルーター、VPNコンセントレーター、リモートアクセスゲートウェイ、ネットワーク管理アプライアンスだ。
ゼロデイ欠陥を含む複数の脆弱性を悪用してきた一方で、主眼は設定不備の悪用に置かれている。Moses氏によれば、設定不備の悪用は痕跡が大幅に小さく、その分、発見や防止がはるかに難しいためだという。
レポートはさらに、標的となっているエッジデバイスの一部はAWS上で仮想アプライアンスとしてホストされていると述べ、悪意ある活動が確認され次第、同社がキャンペーンを「継続的に妨害」するために尽力していると付け加えている。
このキャンペーンを特定の脅威アクターに帰属させるのはやや難しかったが、AWSは、複数のグループが関与する、より広範なロシア連邦軍参謀本部情報総局(GRU)のキャンペーンであると考える理由があるとしている。
攻撃との関連が指摘されている存在の一つがCurly COMradesで、このグループは、とりわけWindowsデバイス上に展開されたLinuxベースのVM内にマルウェアを隠してきた。
今年11月、Bitdefenderのセキュリティ研究者は、Curly COMradesがリモートコマンドを実行してmicrosoft-hyper-vの仮想化機能を有効化し、その管理インターフェースを無効化していたと報告した。その後、同機能を使って、複数のマルウェア・インプラントを含む軽量なAlpine LinuxベースのVMをダウンロードしたという。
「2026年に向けて、組織はこの持続的な脅威に対抗するため、ネットワークのエッジデバイスの保護と、認証情報リプレイ攻撃の監視を最優先にしなければなりません」とMoses氏は結論づけた。
