TokyoBlackHatNews

gbhackers.com 5分で読了

BlueDeltaのハッカーが、人気のウクライナ系ウェブメール/ニュースサービスのユーザーを標的に

ロシア国家支援の脅威グループBlueDeltaは、2024年6月から2025年4月にかけて、ウクライナで最も人気のあるウェブメールおよびニュースサービスの一つであるUKR.NETのユーザーを標的に、持続的な認証情報(クレデンシャル)収集キャンペーンを実施しました。

Recorded FutureのInsikt Groupによる調査によれば、この作戦は、ロシアがウクライナで継続する軍事作戦のさなか、情報収集目的でウクライナのユーザー認証情報を侵害しようとするGRU関連の脅威アクターの取り組みが大きくエスカレートしたことを示しています。

このキャンペーンは、BlueDeltaが確立してきたフィッシングおよび認証情報窃取の手口を基盤としており、2024年初頭に西側の法執行機関によるインフラのテイクダウンが行われて以降、大きく進化しています。

APT28、Fancy Bear、Forest Blizzardとしても知られるこの脅威グループは、侵害されたルーターから高度なプロキシ・トンネリング・プラットフォーム(ngrokやServeoなど)へ移行することで戦術を適応させており、国際的な妨害工作にもかかわらず作戦継続性を維持しようとするGRUの強い意思を示しています。

技術的高度化

Insikt Groupは調査期間中、複数の無料Webサービス上に展開された42件を超える認証情報収集チェーンを特定しました

BlueDeltaはMocky APIサービスを悪用して偽のUKR.NETログインポータルをホストし、DNS EXIT、Byet Internet Services、ngrokのリバースプロキシ・トンネリング基盤などの無料ホスティングプロバイダーと組み合わせて、被害者からユーザー名、パスワード、二要素認証コードを収集しました。

Image
認証情報収集ページにはUKR.NETのログインページが表示されていた.

この脅威グループのアプローチは、顕著な技術的洗練を示しています。悪性インフラを直接露出させるのではなく、BlueDeltaは無料ドメイン、リンク短縮サービス、プロキシトンネルを用いる多層アーキテクチャを採用し、コマンド&コントロール(C2)サーバーの実際の所在を隠蔽しました。

このキャンペーンでは、認証情報を流出させ、CAPTCHAの応答を中継し、HTTPBinサービスを通じて被害者のIPアドレスを取得するために設計されたカスタムJavaScriptが使用されました。

特に注目すべき発見として、UKR.NETからのアカウントセキュリティ通知を装ったPDFルアーが確認されました。

Image
被害者にリンクをクリックさせ、認証情報収集ページへ誘導するためにBlueDeltaが使用したPDFルアー.

これらの文書は、疑わしいアカウント活動があったと標的に通知し、パスワードリセットのために埋め込みリンクをクリックするよう促しました。

悪性PDFを配布することで、BlueDeltaはフィッシング試行を検知するために設計された一般的なメールフィルタリングやサンドボックス検知メカニズムを効果的に回避しており、この戦術は同グループが企業のセキュリティ基盤を理解していることを反映しています。

2025年3月から4月にかけて、Insikt Groupは、BlueDeltaのインフラ階層化における大幅な更新(新たな第3層およびこれまで見られなかった第4層コンポーネントを含む)を検知しました。

最新ページのHTMLとJavaScriptは、1行の新しいコードが追加された点を除き、以前に記述されたものと非常によく似ています。

Image
 BlueDeltaの認証情報収集インフラ構成.

同グループはDNS EXITドメインからngrokの無料サブドメインへ移行する一方で、認証情報の流出(エクスフィルトレーション)と中継(リレー)処理のために、フランスおよびカナダで専用サーバーを同時に運用していました。

分析の結果、標準ポートでのSSHアクセスに加え、カスタムHTTPサービスも確認され、持続的な運用プレゼンスが示唆されました。

ukrinet[.]comやukrainnet[.]comを含むタイポスクワットドメインの発見は、バックアップ用インフラを維持し、キャンペーンの継続性を確保するというBlueDeltaの戦略をさらに示しています。

特にある革新として、JavaScriptコードにngrok-skip-browser-warningのHTTPヘッダーを追加し、プロキシサービスの存在をユーザーに気付かせ得るngrokの組み込み安全警告を無効化していました。

戦略的含意

BlueDeltaがウクライナのユーザー認証情報に継続的に注力していることは、文書化されているGRUの情報要件と整合しています。

ウクライナのユーザーにサービスを提供する組織は、フィッシング対策としての多要素認証を実装し、業務上重要でない無料ホスティングサービスを拒否リスト化し、偽ログインポータルやアカウントをテーマにしたルアーに焦点を当てた定期的なセキュリティ意識向上トレーニングを実施すべきです。

同グループは10年以上にわたり、政府機関、防衛関連請負業者、物流企業、政策系シンクタンクを一貫して標的にしており、認証情報窃取を活用して、ロシアの戦略的利益を支える多段階の諜報活動を可能にしてきました。

セキュリティ研究者は、BlueDeltaが2026年まで認証情報収集作戦を継続する可能性が高いと評価しており、低コストで匿名性の高いWebインフラへの依存を維持しつつ、ホスティングおよびリダイレクトのプラットフォームをさらに多様化させると見ています。

このキャンペーンは、初期侵入を獲得し情報収集作戦を実施するための費用対効果の高い手段として、国家支援の認証情報窃取がもたらす持続的脅威を浮き彫りにしています。

脅威アクターが防御策に適応し続ける中、組織は継続的な脅威インテリジェンスの監視とインシデント対応体制の準備を通じて、警戒を維持しなければなりません。

翻訳元: https://gbhackers.com/bluedelta-hackers/

ソース: gbhackers.com
#APT28 #BlueDelta #Fancy Bear #GRU #ngrok #UKR.net #ウクライナ #フィッシング #国家支援型サイバー攻撃 #認証情報窃取

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚