Amazon Threat Intelligenceの新たな調査によると、GRU(Glavnoye Razvedyvatelnoye Upravleniye、すなわち主要情報総局)に関連するロシアの国家支援型脅威アクターは、ソフトウェアの脆弱性ではなく、基本的な設定ミスを悪用して重要インフラのネットワークへ侵入するケースが増えている。
Amazonは、この活動がSandworm(APT44およびSeashell Blizzardとしても追跡)によるものだと高い確度で断定している。このキャンペーンは少なくとも2021年以降、北米および欧州のエネルギー供給事業者やその他の重要インフラ組織を標的としてきた。Amazonはまた、BitdefenderがCurly COMradesとして追跡するグループとのインフラの重複も特定しており、同グループは侵害後の活動を担っているようだ。
2021年から2024年にかけて、攻撃者は侵入のために既知の脆弱性やゼロデイ脆弱性の悪用にしばしば依存していた。Amazonは、WatchGuardのファイアウォール、Atlassian Confluence、Veeamのバックアップソフトウェアにおける欠陥の悪用を確認している。2025年にはその活動が急減し、代わって設定不備のあるネットワーク境界デバイスを継続的に狙う動きに置き換わった。
攻撃者は、管理インターフェースが露出している、または十分に保護されていないエンタープライズ向けルーター、VPNゲートウェイ、ネットワーク管理アプライアンスに注力した。これらのデバイスの多くは、AWSを含むクラウド環境で稼働する顧客所有のアプライアンスだった。Amazonは、この活動はAWSインフラの弱点ではなく、顧客側の設定ミスによって引き起こされたと述べた。
侵入後、グループはユーザー認証情報を収集し、その後、被害組織のオンラインサービスに対して再利用を試みた。Amazonは、認証情報は侵害されたデバイス上のパケットキャプチャ機能を用いた受動的なトラフィック傍受によって収集された可能性が高いと評価している。その後の認証情報リプレイの試みは、コラボレーションプラットフォーム、ソースコードリポジトリ、通信サービスを標的としていた。
このキャンペーンは、電力会社、マネージドサービスプロバイダー、支援するテクノロジー企業を含む、エネルギー分野とそのサプライチェーンに強い焦点を維持していた。標的化は世界規模で観測され、北米、欧州、中東にわたる活動が確認された。
AmazonのCISOであるCJ Mosesによるブログ投稿によれば、同社はプロキシ用インフラとして侵害された正規サーバーが長期にわたり使用されていることも記録した。同社は、侵害指標(IOC)として挙げられたものは、当該システムが依然として正当なサービスをホストしている可能性があるため、無条件にブロックするのではなく、文脈に沿って調査すべきだと注意を促した。
セキュリティ専門家は、今回の調査結果が、より低リスクなアクセス手法へ意図的に移行していることを示していると述べている。Black Duckのシニア・サイバーセキュリティ・ソリューション・アーキテクトであるChrissa Constantineは、設定不備のある境界デバイスと脆弱なアイデンティティ管理は、通常の管理作業に紛れ込みやすく検知が難しい一方で、信頼性の高いアクセス手段を提供すると語った。
Keeper Securityの最高情報セキュリティ責任者であるShane Barneyは、この活動が基本的なセキュリティ対策の価値を改めて裏付けるものだと述べた。彼は、組織に対し、ネットワーク境界デバイスの定期的な監査を優先し、露出した管理インターフェースを排除し、異常な管理者アクセスを監視するよう助言した。また、境界デバイスが侵害された後は、認証情報リプレイが依然として主要なリスクであるとも警告した。
Amazonは、組織に対してネットワーク境界デバイスの監査、認証情報の再利用に関する認証ログの確認、想定外の場所からの管理者アクセスの監視を促した。AWS環境については、セキュリティグループのアクセス制限、管理インターフェースの分離、ログ記録および脅威検知サービスの有効化、露出の有無を確認するためのインスタンスの定期スキャンを推奨した。
翻訳元: https://hackread.com/amazon-russia-gru-hackers-misconfigured-vulnerabilities/
