調査会社Recorded FutureのInsikt Groupによる最近の調査結果は、プロフェッショナルがほんの2秒気を取られるだけで、個人データが悪意ある者の手に渡り得ることを明らかにしています。
Recorded Futureの最新ブログ投稿によると、BlueDelta(またはFancy Bear)として知られるロシアの国家支援ハッキング集団が、世界中の専門職からログイン情報を盗むための巧妙なキャンペーンを展開しているとのことです。
報告によれば、2025年2月から9月にかけて、BlueDeltaはエネルギーや原子力研究などの専門分野の個人を標的にし、特にトルコおよび欧州で活動していました。研究者らは、このキャンペーンの目的は認証情報の収集であるようだと観測しています。
詐欺の仕組み
研究者らは、ハッカーが露骨な偽リンクを使うのではなく、まず被害者に本物の文書を見せることで、はるかに説得力を増していると指摘しています。例えば標的は、気候変動や国際政治に関する正規の見た目のPDFを開くリンクを受け取ることがあります。具体的には、湾岸研究センター(GRC)によるイスラエルとイランに関する報告書のようなものです。
別の誘導例として、「Climate Action as a Strategic Priority(気候行動を戦略的優先事項として)」と題したEcoClimate Foundationの報告書があり、再生可能エネルギーに取り組む科学者を特に狙っていました。被害者がこれらの文書に気を取られている間、ウェブサイトは実際にはバックグラウンドで動作しています。わずか2秒後、ページは自動的に偽のログイン画面へ切り替わります。
さらに調査したところ、これらの偽ページは次のように見えるよう設計されていました:
- Google:ポルトガル語のページを使ってユーザーをだます。
- Sophos VPN:欧州のシンクタンク内の職員を標的。
- Microsoft Outlook(OWA):北マケドニアの軍関係者およびウズベキスタンのIT専門家を特に標的。
シンプルだが効果的な手口
注目すべき点として、BlueDeltaはこれらの攻撃に高価な機材を使っておらず、Webhook.site、ngrok、InfinityFreeといった無料のインターネットサービスに依存しています。研究者によれば、被害者が情報を入力するとハッカーのコードが自動的にその情報を保存し、その後ユーザーを本物のウェブサイトへ戻すため、これはデータを盗む「低コスト・高収益」な手段になっているとのことです。
ブログ投稿には「トルコ語の素材や地域を絞った誘導用コンテンツの使用は、BlueDeltaが信頼性を高めるために内容を調整していたことを示唆している」と記されています。被害者が本物のログインページへリダイレクトされる頃には、認証情報はすでに盗まれています。
この活動はBlueDeltaの作戦の大幅な拡大を示しており、政府および研究ネットワークから情報を収集することへの強いコミットメントがうかがえます。
そのため専門家は、webhook.siteのような不審なアドレスが含まれていないかリンクを常に確認し、PDFを読んでいる最中に突然表示されるログイン要求は決して信用しないよう呼びかけています。また、保護のために、業務用アカウントすべてで多要素認証を有効にしておくことも有効です。
(写真:UnsplashのKOBU Agency)
翻訳元: https://hackread.com/russian-bluedelta-fancy-bear-pdfs-steal-login/
