TokyoBlackHatNews

gbhackers.com 4分で読了

ロシアのハッカーが西側の重要インフラにおけるネットワークエッジ機器への攻撃を開始

ロシアの国家支援ハッカーは、西側の重要インフラ全体で設定不備のあるネットワークエッジ機器への攻撃を強めており、2025年の終わりが近づく中で大きな戦術的転換を示している。

Amazon Threat Intelligenceによる新たな知見によれば、このキャンペーンはロシア連邦軍参謀本部情報総局(GRU)およびSandworm/APT44/Seashell Blizzardクラスターに高い確度で関連付けられており、目立つ脆弱性悪用を優先しない一方で、露出し設定不備のある顧客デバイスを密かに悪用して永続的なアクセスを獲得し、認証情報を収集し、重要システムへ横展開することに注力している。

注目度の高いゼロデイやNデイのエクスプロイトに主として依存するのではなく、脅威アクターは、管理インターフェースが露出した設定不備のルーター、VPNコンセントレーター、リモートアクセスゲートウェイ、ネットワーク管理アプライアンスといった「手の届きやすい」対象に焦点を当てている。

この手法は、重要ネットワークへの永続的アクセスと高価値の認証情報という同等の戦略的利益をもたらしつつ、運用上のリスクと検知露出を低減する。

攻撃手法と技術

Amazonのテレメトリによれば、2021年から2025年にかけて、このキャンペーンは着実に進化した。初期段階では、WatchGuardデバイス(CVE-2022-26318)やAtlassian Confluenceの欠陥(CVE-2021-26084CVE-2023-22518)など既知の脆弱性の悪用が行われ、その後にVeeamの悪用(CVE-2023-27532)が続いた。

しかし2025年までに、重点は設定不備のある顧客ネットワークエッジ機器の継続的な標的化へと決定的に移り、それに伴い観測可能なゼロデイおよびNデイ悪用活動は減少した。

主な標的は、北米および欧州のエネルギー分野の組織と重要インフラ提供者であり、クラウドホスト型のネットワークインフラを持つ組織も含まれる。

一般的に狙われるリソースには、エンタープライズ向けルーティング基盤、VPNゲートウェイ、ネットワークアプライアンス、コラボレーションおよびWikiプラットフォーム、クラウドベースのプロジェクト管理システムが含まれる。

このキャンペーンは通信事業者やテクノロジー/クラウドサービスプロバイダーにも及び、北米、西欧・東欧、中東にまたがる地理的な広がりは、エネルギーサプライチェーンとその主要サービスプロバイダーに対する広範な注力を反映している。

正確な認証情報抽出メカニズムは直接観測されていないものの、複数の指標は、パケットキャプチャとトラフィック分析が支配的な手法であることを示唆している。

デバイス侵害から後続の認証試行までの時間差、デバイスではなく被害組織の認証情報の使用、そしてSandwormがネットワークトラフィックを傍受してきた既知の履歴は、侵害されたネットワークエッジ機器から認証データを受動的に収集していることを示している。

Amazonは、AWS上でホストされる顧客のネットワークエッジ機器に対する協調的な作戦を報告しており、根本原因はAWS自体の欠陥ではなく設定不備であったと強調している。

緩和策

アクターが制御するIPは、顧客のネットワークアプライアンスソフトウェアを実行する侵害済みEC2インスタンスに対して永続的かつ対話的な接続を維持しており、パケットキャプチャとデータ取得を容易にしていた可能性が高い。

盗まれた認証情報はその後、エネルギー事業者の認証エンドポイント、マネージドセキュリティプロバイダー、コラボレーションプラットフォーム、ソースコードリポジトリ、通信事業者などを含む、被害組織のオンラインサービスおよびインフラに対してリプレイ(再利用)された。

観測された試行の一部は失敗しているが、このパターンは後続アクセスのための認証情報リプレイモデルを明確に示している。

Bitdefenderが報告した「Curly COMrades」活動とのインフラの重複は、より広範でモジュール化されたGRUのキャンペーンを示唆している。

Bitdefenderは、Hyper‑Vの悪用やカスタムインプラント(CurlyShell/CurlCat)といった侵害後のホストベースの手口を強調している一方、Amazonの可視性は初期侵入とクラウドへのピボットに集中している。

この役割分担――あるクラスターがネットワーク侵入に注力し、別のクラスターが永続化と回避に注力する――は、確立されたGRUの運用パターンと一致する。

これを受けてAmazonは、影響を受けた顧客に通知し、侵害されたEC2リソースの復旧を可能にするとともに、この活動のより広範な妨害を支援するため、ベンダーおよびパートナーとインテリジェンスを共有した。

2026年に向けて、組織にはネットワークエッジ機器の厳格なロックダウン、露出した管理インターフェースの排除、強力な認証とセグメンテーションの徹底、ならびに認証情報リプレイ、デバイス管理ポータルへの異常アクセス、クラウドおよびオンプレミスのサービス全体にわたる不審な認証パターンの綿密な監視が強く求められている。

AWSの顧客に対してAmazonは、IAMの強化、セキュリティグループの厳格化、管理プレーンの分離、VPC Flow Logs、CloudTrail、GuardDutyの有効化、そしてAmazon Inspectorを活用した継続的な脆弱性および露出評価により、このGRU関連の持続的脅威に対抗することを推奨している。

翻訳元: https://gbhackers.com/network-edge-devices-2/

ソース: gbhackers.com
#APT44 #AWS(EC2) #GRU #Sandworm #VPNゲートウェイ #ネットワークエッジデバイス #ロシア系ハッカー #設定ミス(ミスコンフィグ) #認証情報窃取 #重要インフラ

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚