出典:Allan Swart(Alamy Stock Photo経由)
世界でも屈指の能力を持つ脅威アクターの一つが、バルカン半島、中東、中央アジアの特定組織を狙い、驚くほど単純で低コストな認証情報収集攻撃を実行している。
APT 28――一般にFancy Bearとして知られ、ロシア連邦軍参謀本部情報総局(GRU)に関連付けられている――は、2010年代半ばにおける最も悪名高い高度持続的脅威(APT)だった。ウクライナ、米欧の選挙、そしてオリンピックに関わる組織に対する同グループの攻撃はあまりに衝撃的で、西側メディアや政府機関に対する他の大規模攻撃をも霞ませた。最盛期には、西側世界におけるサイバーセキュリティの議論を牽引する影響力という点で、Anonymousだけがそれ以上だったと言える。
それに比べると、Fancy Bearの近年の活動は物足りなく感じられるかもしれない。内容は概して世界各国の政府を狙った、ありふれたスピアフィッシングであり、ロシアにとって何らかの戦略的価値を持つ組織が標的となる。そして最新キャンペーンも、この傾向を色濃く引き継いでいる。Recorded Futureは、2025年2月から9月にかけて、同社がBlueDeltaとして追跡するAPTが認証情報を狙っていたことを確認した。標的は、世界地図の中央付近に点在する少なくとも複数の特定組織に及ぶ。認証情報を得るために用いられたのは、巧妙なフィッシングページと市販のインフラ程度にすぎなかった。
Recorded Futureの主任脅威アナリストであるMatt H.は、「これらのキャンペーンは表面的には単純に見えるかもしれないが、国家支援アクターにとって非常に効果的であり、多くの場合、より複雑でマルウェア依存の高い作戦よりも投資対効果が高い」と警告する。
Fancy Bearの最新キャンペーン
Fancy Bearの最近の攻撃は、標的に合わせたテーマで、標的の母語で書かれたフィッシングメールから始まった。被害者が記載されたリンクを踏むと、関連組織から借用した正規のPDFが表示される。例えば同グループは、トルコの再生可能エネルギー分野の科学者を、実在する中東のシンクタンクが作成した気候変動政策文書で狙った。
しばらくすると、被害者は正規のオンラインサービスを模したログインページへリダイレクトされる。被害者がSophos VPN、Google、またはMicrosoft Outlookの認証情報を一度入力すると、今度は正規サービスの同一のログインページへ再びリダイレクトされ、もう一度入力するよう促される。被害者はこれを単なる不具合だと片付けてしまうかもしれない。
この攻撃フローを支えるため、Fancy Bearは独自のカスタムツールやインフラではなく、一般的なホスティングサービスを多様に利用した。取得した認証情報は、被害者のメールアカウントや仮想プライベートネットワーク(VPN)へのアクセスに使われ、情報収集、システム内での横展開、さらにはより価値の高い関連標的への追撃攻撃を可能にしたはずだ。
こうした戦術・技術・手順(TTP)は、特に潤沢なリソースと高い能力を持つ国家レベルのAPTグループにとっては、目新しいものではない。しかしMatt H.は、これは意図的である可能性があると強調する。「認証情報収集キャンペーンは、広く利用可能なインターネットサービスに依存し、最小限の準備で実行でき、低コストで迅速に再構成したり放棄したりできる」と彼は指摘する。安価で交換可能な部品を使うことは、ハッカーが目立たないようにする助けにもなる。「これらの作戦は通常、商用VPNサービス経由でアクセスされ、インフラは無料プラットフォーム上にホストされるため、サーバー登録の追跡や資金の流れを追うといった従来手法の効果が大きく低下する。」
つまり、コスト削減にとどまらず、特別なマルウェアやインフラ、手法を用いないことは、「アクターが技術的な指紋を抑え、インフラを稼働させておく必要のある期間を短縮する」ことを意味する。Matt H.は、「これは格下げではなく、複雑さよりも持続性、拡張性、否認可能性を優先する、情報収集の成熟した進化を反映している。しばしば、すぐに注目を集めてしまう高コストなキャンペーンよりも、より大きな作戦上の価値をもたらす」と述べている。
最終目標:戦略的組織へのアクセス
このキャンペーンの既知の標的には、ウズベキスタン拠点のITインテグレーター、欧州のシンクタンク、北マケドニアの軍事組織、そしてトルコのエネルギー・原子力研究機関に関連する科学者や研究者が含まれる。
Matt H.は、第一印象では標的選定が断片的に見えることを認める。「しかし情報活動の観点で見ると、極めて選別的で、GRUの収集優先順位と整合している。標的はほぼ常に、商業的・犯罪的目的ではなく、地政学的、軍事的、または戦略的インテリジェンスの目的に合致している。」
重要なのは、これらの標的の一部が、より大きく価値の高い標的へ至る途中の「経由地」にすぎない可能性があることだ。例えば、ウズベキスタンのITインテグレーターがそれに当たる。「過去のBlueDeltaキャンペーンでは、比較的小規模または目立たない組織を狙った認証情報収集ページが観測され、後にそれらが渡航、物流、サプライチェーンの関係を通じて、より価値の高い標的と結び付いていることが判明した」とMatt H.は言う。
最も懸念されるのは、私たちがまだ把握できていない被害者が、さらに多数存在する可能性があることだ。「観測できる活動は、孤立した、あるいは機会主義的な標的化ではなく、はるかに広範な情報収集活動の代表的サンプルと見なすべきだ」と彼は述べている。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-credentials-global-targets
