国家支援グループが北米と欧州の重要インフラ提供事業者を標的に。
ロシアの国家支援によるサイバー諜報グループが、ネットワークエッジ機器の設定不備を悪用して、エネルギー企業および重要インフラ提供事業者を標的にしている。
同グループは少なくとも2021年から活動しており、これまでも機器の設定不備を悪用してきたが、WatchGuard FireboxおよびXTMアプライアンスのCVE-2022-26318、ConfluenceのCVE-2021-26084およびCVE-2023-22518、Veeam BackupのCVE-2023-2753といった既知の脆弱性も悪用している。
しかし、Amazon Threat Intelligenceが収集したテレメトリによると、同グループは今年、ゼロデイやNデイ脆弱性から離れ、設定不備の標的化に強く注力している。主な標的は、エンタープライズルーターおよびルーティング基盤、VPNコンセントレーターとリモートアクセスゲートウェイ、ネットワーク管理アプライアンス、コラボレーション/Wikiプラットフォーム、クラウドベースのプロジェクト管理システムだった。
研究者らは「この戦術的適応により、攻撃者の露出とリソース消費を抑えつつ、同じ作戦上の成果(認証情報の収集や、被害組織のオンラインサービスおよびインフラへのラテラルムーブメント)を実現できる」と指摘している。
SandwormおよびCurly COMradesとの関連
Amazonのテレメトリによれば、同グループのインフラは、APT44およびSeashell Blizzardとしても知られ、ロシアの軍事情報機関GRUに関連するとされるSandwormと重複している。また、過去にセキュリティ企業BitdefenderがCurly COMradesという名称で文書化したグループとも重複がある。
ただし、これらはGRU内で連携して活動するサブグループである可能性があり、Amazonが追跡するグループが初期侵入とラテラルムーブメントを担当し、Curly COMradesがCurlyShellおよびCurlCatという独自マルウェア・インプラントを用いてホスト上の永続化を担っている可能性がある。
Amazonは、AWS EC2インスタンス上でホストされる顧客のネットワークエッジアプライアンスに対する攻撃を検知しており、攻撃者が制御するIPアドレスが永続的な接続を確立していた。これは、侵害された機器への対話的アクセスを示唆する。
認証情報の収集
研究者らはまた、ネットワークエッジ機器の侵害後に盗まれたドメイン認証情報を用い、被害者の他のオンラインサービスに対して認証情報のリプレイ攻撃が行われていることを観測した。これは、侵害された機器のトラフィック捕捉および解析機能を悪用して、攻撃者が認証情報を収集している可能性が高いことを示している。
研究者らは「機器の侵害から被害者サービスに対する認証試行までの時間差は、能動的な認証情報窃取ではなく、受動的な収集を示唆する」と述べている。
ネットワークトラフィックの傍受はSandwormの既知の手口と整合しており、ネットワークエッジ機器を特に標的にすることで、攻撃者は通信中の認証情報を傍受できる位置を確保できる。
重要インフラ提供事業者はこの脅威にどう備えるべきか
同グループはエネルギー分野に強く注力しており、被害者には電力会社、エネルギー提供事業者、さらにはエネルギー分野の顧客を持つMSSPも含まれる。ただし、複数地域にまたがるテクノロジーおよびサービスのクラウド提供事業者、ならびに通信事業者も標的にしている。
Amazon Threat Intelligenceチームは、組織に対し、ネットワークエッジ機器に本来存在すべきでないパケットキャプチャファイルやユーティリティがないか監査すること、機器設定を見直して管理インターフェースを分離すること、そして多要素認証を実装することを推奨している。
企業はまた、認証ログを見直し、想定外の地理的位置からの認証試行を監視すべきだ。すべてのオンラインサービスに対して認証パターンの異常検知を実装し、通信中に認証情報が露出し得る平文プロトコルの使用状況を監査する必要がある。
Amazonのレポートには、この攻撃キャンペーンに関連する侵害指標(IOC)に加え、AWS環境に特化したセキュリティ推奨事項も含まれている。
