TokyoBlackHatNews

gbhackers.com 5分で読了

BlueDeltaのハッカーがMicrosoft OWA、Google、Sophos VPNを標的にして認証情報を窃取

Recorded FutureのInsikt Groupによる包括的な調査によると、GRU(ロシア軍参謀本部情報総局)本部に関連するロシア国家支援の脅威グループBlueDeltaが実施した高度な認証情報収集(クレデンシャル・ハーベスティング)作戦は、2025年を通じて重要インフラ組織および研究機関を標的にしていた。

2025年2月から9月にかけて展開されたこのキャンペーンは、新たな標的化手法と強化された技術的能力を伴い、同グループが継続してきた認証情報窃取作戦の大きな進化を示している。

APT28、Fancy Bear、Forest Blizzardとしても追跡されているBlueDeltaは、トルコのエネルギー・原子力研究機関、欧州のシンクタンク、北マケドニアおよびウズベキスタンの組織に所属する職員に対し、極めて標的を絞ったフィッシングキャンペーンを展開した。

脅威アクターはトルコ語コンテンツや地域特有の誘導素材を取り入れることで運用上の高度さを示し、標的となった専門職層における信頼性とエンゲージメント率を高めた。

このキャンペーンでは、正規のPDF文書を餌として活用しており、湾岸研究センター(Gulf Research Center)による「Strategic and Political Implications for Israel and Iran: The Day After War」や、EcoClimate Foundationの「Climate Action as a Strategic Priority for the New Pact for the Mediterranean」に関する報告書などが含まれていた。

これらの文書は、詐欺的なログイン画面を提示する前に被害者へ一時的に表示され、正当性を確立し自動化されたセキュリティ制御を回避することを狙った手口である。

多段階インフラの悪用

BlueDelta の技術インフラは、無料のホスティングおよびトンネリングサービスに大きく依存しており、帰属(アトリビューション)を困難にする低コストで使い捨て可能なインフラを好む同グループの継続的な傾向を示している。

このキャンペーンでは、Webhook[.]site、InfinityFree、Byet Internet Services、ngrok、ShortURLが悪用され、フィッシングコンテンツのホスティング、認証情報の収集、複雑なリダイレクトチェーンの管理が行われた。

脅威アクターは高度な多段階リダイレクト手順を実装し、短縮URLから開始して被害者を中継Webhookへ誘導した後、認証情報収集ページを表示した。

Image
OWAログインをテーマにした認証情報収集ページ。

この手法により、BlueDeltaは正規のPDF文書を短時間表示し、被害者のメールアドレスやメタデータを含むページオープン・ビーコンを取得し、最終的にMicrosoft Outlook Web Access、Google、Sophos VPNのログイン画面の説得力ある複製を提示できた。

BlueDeltaの認証情報収集ページの分析により、運用上の手口が反復的に改善されていることが明らかになった

同グループは、ページURLを動的に取得する自動化されたJavaScript関数を導入し、流出(エクスフィルトレーション)先エンドポイントを手動で設定する必要をなくした。

特に、後期のキャンペーンでは変数命名規則を「OldPwd」から「password」へ更新しており、運用要件に基づくコードの洗練が示されている。

2025年7月16日、BlueDeltaは無料APIサービスWebhook[.]siteを用いて新たな認証情報収集ページを作成し、URL hxxps://webhook[.]site/ff237e88-cbaf-4b0b-b787-6e2f1f2c926f を介してホストした。

Image
BlueDeltaの認証情報収集インフラの段階。

脅威アクターはまた、URLクエリ文字列に埋め込まれた固有の32バイト16進数の被害者識別子を実装し、認証情報収集プロセス全体を通じて個々の標的を精密に追跡できるようにした。

緩和策

標的化のパターンは、エネルギー研究、防衛協力、地域政府の通信におけるロシア情報機関の優先事項を反映している。2025年6月4日、BlueDeltaはSophos VPNのパスワードリセットページを装った新たな認証情報収集ページを展開した。

Image
Sophos VPNのパスワードリセットページを装った認証情報収集ページ

カスタムスクリプトはページオープン・ビーコンを通じて被害者の活動を追跡し、JSON形式のHTTP POSTリクエストで認証情報を送信し、疑念を減らすために認証情報送信後は被害者を正規サービスへリダイレクトした。

BlueDeltaが正規のインターネットサービスを執拗に悪用していることは、認証情報収集がロシアの戦略目標を支える情報収集において依然として費用対効果の高い手法であるというGRUの評価を浮き彫りにしている。

組織は、フィッシング耐性のある多要素認証の実装、業務運用に不要な無料ホスティングおよびトンネリングサービスの拒否リスト化、プロキシサービスまたは非標準ポートからの認証試行の監視により、露出を軽減できる。

セキュリティチームは、アカウント確認やパスワードリセットをテーマにした埋め込みリンクを含むPDF添付ファイルの検知を優先すべきである。

Recorded Futureは高い確度で、BlueDeltaが2026年にかけても認証情報収集作戦を継続し、誘導テーマを適応させつつ、ロシアにとって戦略的に重要な分野にまたがる地域標的を取り込むためにローカライズされたコンテンツを導入すると評価している。

翻訳元: https://gbhackers.com/bluedelta-hackers-2/

ソース: gbhackers.com
#APT28 #BlueDelta #Fancy Bear #Googleアカウント #GRU #Microsoft Outlook Web Access(OWA) #Sophos VPN #フィッシング #認証情報窃取 #重要インフラ攻撃

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚