ロシアのハッカー集団がネットワーク・エッジ機器の設定不備を悪用し、北米および欧州の重要インフラを攻撃している。
Evgeny_V – shutterstock.com
Amazon Threat Intelligenceのチームは、ロシア国家の支援を受けたサイバースパイ集団が、エネルギー企業および重要インフラ(KRITIS)の事業者を標的にする動きを強めていることを確認した。
同グループは少なくとも2021年から活動しており、主に機器の設定不備を狙っているという。攻撃者はまた、WatchGuard FireboxおよびXTM機器のCVE-2022-26318、ConfluenceのCVE-2021-26084およびCVE-2023-22518、Veeam BackupのCVE-2023-2753といった既知の脆弱性も悪用している。
Amazonが収集したテレメトリデータによれば、同グループは今年、Zero-DayやN-Dayの脆弱性から離れ、設定不備に強く注力している。主な標的は、エンタープライズ・ルーターおよびルーティング基盤、VPNコンセントレーターとリモートアクセス・ゲートウェイ、ネットワーク管理アプライアンス、コラボレーション/Wikiプラットフォーム、クラウドベースのプロジェクト管理システムだった。
セキュリティ専門家は「この戦術的な適応により、被害者のオンラインサービスやインフラ内での認証情報の収集とラテラルムーブメントという同じ作戦上の成果を得つつ、発見されるリスクと攻撃者側のリソース負担を同時に低減できる」と述べている。
SandwormおよびCurly COMradesとの関連
テレメトリデータは、同グループのインフラとSandwormとの間に重複があることを示している。SandwormはAPT44およびSeashell Blizzardとしても知られ、ロシア軍参謀本部情報総局(GRU)と関連付けられている。さらに、過去にBitdefenderがCurly COMradesという名称で活動を記録したグループとの関連もある。
ただし、GRU内で協力するサブグループである可能性もある。Amazonが追跡するグループが初期侵入とラテラルムーブメントを担い、Curly COMradesが独自のマルウェア・インプラントであるCurlyShellおよびCurlCatによってホストの永続化を確保する、という役割分担だ。
Amazonは、AWSのEC2インスタンス上でホストされる顧客のネットワーク・エッジ機器に対する攻撃を発見した。攻撃者は自らが制御するIPアドレスを介して永続的な接続を確立しており、これは侵害された機器への対話的アクセスを示唆している。
認証情報の窃取
セキュリティ研究者は、ネットワーク・エッジ機器の侵害後に盗まれたドメイン認証情報が使用される、被害者の他のオンラインサービスに対するCredential Replay攻撃も観測した。Amazonのチームは、攻撃者が侵害した機器のトラフィック収集・分析機能を利用して認証情報を収集しているとみている。
研究報告書では「機器の侵害と、被害者のサービスに対する認証試行との間に時間的な隔たりがあることは、認証情報の能動的な窃取というより、受動的な収集を示唆している」としている。
ネットワークトラフィックの傍受において、攻撃者はSandwormと同様の手口を取っている。ネットワーク・エッジ機器を狙い撃ちすることで、送信中の認証情報を傍受できる立場に立つ。
KRITIS運用事業者向けの防御のヒント
同グループはエネルギー分野に強く注力している。これには、エネルギー供給分野の顧客を持つMSSP(マネージド・セキュリティ・サービス・プロバイダー)も含まれる。ただし攻撃者は、複数地域においてテクノロジー/クラウドサービス事業者や通信事業者も標的にしている。
Amazonは企業に対し、ネットワーク・エッジ機器に不正なパケットキャプチャファイルまたはツールがないか確認するよう助言している。加えて、機器設定の点検、管理インターフェースの分離、ならびに多要素認証の実装が推奨される。
企業はまた、認証ログを確認し、想定外の地理的場所からの認証試行を監視すべきだ。さらに、すべてのオンラインサービスに対して認証パターンの異常検知を実装することが推奨される。送信中に認証情報が露出し得る平文プロトコルの使用についても管理すべきである。
Amazonの報告書には、この攻撃キャンペーンに関連する侵害指標(IoC)に加え、AWS環境に特化した具体的なセキュリティ推奨事項も含まれている。(jm)
