Amazon Threat Intelligenceチームは、ロシアの対外軍事情報機関GRUのために活動するハッカーによるものとされる、顧客のクラウドインフラを標的とした進行中の作戦を妨害した。
クラウドサービスプロバイダーは、2021年に始まった活動において、西側の重要インフラ、とりわけエネルギー分野に焦点が当てられていることを確認した。
時間の経過とともに、脅威アクターは脆弱性(ゼロデイおよび既知のもの)の悪用から、初期侵入のために設定不備のエッジデバイスを悪用する手法へと移行した。
悪用される脆弱性は減少
Amazon Integrated SecurityのCISOであるCJ Mosesは、2024年までの「数年にわたる」キャンペーンが、主な初期侵入ベクターとしてWatchGuard、Confluence、Veeamの複数の脆弱性を悪用し、設定不備のデバイスも標的にしていたと指摘している。
しかし今年は、脅威アクターは脆弱性への依存を減らし、企業向けルーター、VPNゲートウェイ、ネットワーク管理アプライアンス、コラボレーションプラットフォーム、クラウドベースのプロジェクト管理ソリューションなど、設定不備の顧客ネットワークのエッジデバイスを狙うことにより重点を置いた。
「管理インターフェースが露出した、設定不備である可能性の高い顧客デバイスという『手の届きやすい標的』を狙うことで、同じ戦略目標、すなわち重要インフラネットワークへの永続的なアクセスと、被害組織のオンラインサービスにアクセスするための認証情報の収集を達成できる」と、Mosesは説明している。
「顧客の設定不備を狙う活動は少なくとも2022年以降継続しているが、アクターは2025年にこの活動への継続的な注力を維持する一方で、ゼロデイおよびNデイの悪用への投資を減らしており、作戦テンポの変化は懸念すべき進化を示している」と彼は付け加えた。
しかし、この戦術的な進化は、グループの作戦目的に変化があったことを示すものではない。すなわち、認証情報を盗み、可能な限り露見を抑え、最小限のリソースで被害者ネットワーク内を横展開することだ。
標的化のパターンと、Sandworm(APT44、Seashell Blizzard)およびCurly COMradesによる攻撃で見られたインフラの重複に基づき、Amazonは、観測された攻撃がロシアGRUのために活動するハッカーによって実行されたと高い確度で評価している。
Amazonは、Curly COMRadesのハッカーが、Bitdefenderが最初に報告したように、複数の専門サブクラスターが関与するより広範なGRUキャンペーンにおいて、侵害後の活動を担当している可能性があるとみている。
ネットワーク内での拡散
Amazonは抽出メカニズムを直接観測してはいないものの、デバイス侵害から認証情報の悪用までの遅延や、組織の認証情報の悪用といった証拠は、受動的なパケットキャプチャおよびトラフィックの傍受を示唆している。
侵害されたデバイスは、AWS EC2インスタンス上でホストされている顧客管理のネットワークアプライアンスであり、Amazonは、攻撃がAWSサービス自体の欠陥を悪用したものではないと指摘した。
攻撃を発見した後、Amazonは侵害されたEC2インスタンスを保護するため直ちに措置を講じ、影響を受けた顧客に侵害を通知した。さらに、影響を受けたベンダーおよび業界パートナーとインテリジェンスを共有した。
「協調した取り組みにより、この活動を発見して以降、脅威アクターの進行中の作戦を妨害し、この脅威活動サブクラスターが利用できる攻撃対象領域を縮小した」とAmazonは述べた。
Amazonは報告書で問題のIPアドレスを共有したが、脅威アクターがトラフィックをプロキシするために侵害した正規のサーバーであるため、文脈に基づく調査を行う前にブロックしないよう警告した。
同社はさらに、来年に向けた「最優先で直ちに実施すべき行動」として、ネットワークデバイスの監査、認証情報リプレイ活動の監視、管理ポータルへのアクセス監視などを推奨した。
AWS環境においては特に、管理インターフェースの分離、セキュリティグループの制限、CloudTrail、GuardDuty、VPC Flow Logsの有効化が推奨されている。
