Recorded Futureによると、ロシア国家支援のグループAPT28が、新たな認証情報窃取キャンペーンで、エネルギー研究、防衛協力、政府通信に関連する組織を標的にしている。
APT28は少なくとも2004年から活動しており、BlueDelta、Fancy Bear、Forest Blizzard、Sednit、Sofacyとしても知られる。同グループはロシア軍参謀本部情報総局(GRU)との関連が指摘されている。
このハッキンググループは、米国および欧州のエネルギー、政府、軍事、メディア関連組織を標的にすることで知られており、昨年はTV5Monde放送局を標的にしたこと、また2023年9月以降にメールサーバーを悪用してきたことについて非難を受けた。
昨年のAPT28による認証情報窃取活動では、トルコのエネルギー・原子力研究機関および欧州のシンクタンクに関係する人物に加え、北マケドニアとウズベキスタンの組織も標的となった。
攻撃の一環として、脅威アクターはMicrosoft Outlook Web Access(OWA)、Google、Sophos VPNポータルになりすましたフィッシングページを使用した。被害者が認証情報を入力すると、正規のドメインへリダイレクトされた。
「これらのキャンペーンは、Webhook[.]site、InfinityFree、Byet Internet Services、Ngrokといった無料のホスティングおよびトンネリングサービスに大きく依存し、フィッシングコンテンツのホスティング、ユーザーデータの取得、リダイレクトの管理を行っていた」とRecorded Futureは説明している。
2025年2月、APT28はMicrosoft OWAのフィッシングページを展開し、第一段階のリダイレクトにShortURLのリンク短縮サービスを使用した。
攻撃の一環として、同グループはHTMLに依存するWebhookを用い、ブラウザ上でPDFのおとり文書を2秒間表示させた。その後、被害者は偽装されたOWAログインページをホストする第2のWebhookへリダイレクトされた。
このHTML要素は、JavaScript関数を用いて被害者情報を取得し、隠しフォーム要素のWebhookへ送信するようにも設計されていた。その後、被害者は正規のPDF文書へリダイレクトされた。
7月には、APTがトルコ語テキストを含む偽装OWAログインポータルを展開し、トルコの科学者や研究者を標的にした。同様のPDFのおとりと認証情報窃取の仕組みが用いられた。
偽装されたSophos VPNおよびGoogleページ
6月、このハッキンググループはInfinityFreeのインフラ上でホストされた、偽装Sophos VPNパスワードリセットページを展開した。被害者が認証情報を入力すると、EUのシンクタンクが所有する正規ポータルへリダイレクトされた。
9月には、脅威アクターがInfinityFreeドメイン上で、OWAのパスワード期限切れページを装った2つの偽装ページをホストしているのが確認され、Sophos VPNのフィッシングページと類似したJavaScriptコードが使用されていた。
これらのページはそれぞれ、北マケドニアの軍事組織と、ウズベキスタンのITインテグレーターのログインページへリダイレクトしていた。
4月、Recorded Futureは、Byet Internet Servicesの無料エイペックスドメイン上でホストされた、ポルトガル語の偽装Googleパスワードリセットページを発見した。ページ上のHTMLフォームが認証情報を収集し、ngrok-free[.]appでホストされたページへ送信していた。
APT28は、Ngrokの「ファイアウォールの背後にあるサーバーをプロキシサーバーに接続し、ファイアウォール規則を変更することなくそのサーバーをインターネットに公開できる無料サービス」を悪用していた。
2つ目のGoogle認証情報窃取ページも、同じくポルトガル語で、NgrokのURLを用いて認証情報を取得しており、InfinityFreeに関連するドメイン上でホストされていた。
「同グループが示した、インフラを適応させ、認証情報窃取ページをリブランドする能力は、運用コストを削減し、帰属特定を困難にするために、無料のホスティング、トンネリング、リンク短縮サービスの悪用を今後も継続することを示唆している」とRecorded Futureは指摘している。
翻訳元: https://www.securityweek.com/russias-apt28-targeting-energy-research-defense-collaboration-entities/
