TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

ロシアのスパイ活動がウクライナ戦争に関連する組織を標的に

クレムリンと関係のあるロシアのハッカーによって実施されている新たなサイバースパイ活動が、ウクライナ戦争に関連する組織から機密データを盗み出すことを狙っている。

ESETが2025年5月15日付のレポートでそう名付けた「Operation RoundPress」は、Fancy Bearによって実施されている大規模なサイバースパイ・キャンペーンで、少なくとも2023年には開始されていた。

主な標的は、ウクライナの政府機関、またはブルガリアおよびルーマニアの防衛関連企業であり、その一部はウクライナに送るためのソ連時代の兵器を生産している。ESETはまた、アフリカ、欧州、南米の政府が標的にされていることも確認している。

主な目的は、特定のメールアカウントから機密データを盗み出すことだ。

Map of operation RoundPress victims in 2024. Source: ESET
2024年におけるOperation RoundPressの被害者の分布図。出典:ESET

Operation RoundPressの内幕

Operation RoundPressでは、侵害の経路はスピアフィッシングメールであり、XSS脆弱性を悪用して被害者のウェブメールページに悪意のあるJavaScriptコードを注入する。

2024年、ESETは、Roundcube、Horde、MDaemon、Zimbraを含む追加のウェブメールソフトウェアを標的にするため、異なるクロスサイトスクリプティング(XSS)脆弱性が悪用されていることを確認した。

これらのエクスプロイトの一部を調査したところ、研究者らは、Fancy Bearが通常、メール経由でこれらのXSSエクスプロイトを配信し、ウェブメールクライアントのブラウザコンテキスト内で悪意のあるJavaScriptコードを実行させることで、標的アカウントからアクセス可能なデータが露出する可能性があることを突き止めた。

「エクスプロイトを成立させるには、標的に対して脆弱なウェブメールポータルで当該メールメッセージを開かせる必要がある。つまり、そのメールはスパムフィルタリングを回避しなければならず、件名も標的がメールを読む気になるほど説得力がある必要がある――ウクライナのニュース媒体Kyiv PostやブルガリアのニュースポータルNews.bgといった著名なニュースメディアを悪用している」とESETの研究者らは記している。

スピアフィッシングメールで使用された件名には、「SBUがハルキウで敵の軍事情報機関のために働いていた銀行員を逮捕」や「プーチン、二国間関係におけるロシアの条件をトランプに受け入れさせようとする」などがあった。

その後、攻撃者はSpyPress.HORDE、SpyPress.MDAEMON、SpyPress.ROUNDCUBE、SpyPress.ZIMBRAといった一連のJavaScriptペイロードを展開する。これらはログイン認証情報を盗み、メールデータを流出させ、場合によっては二要素認証(2FA)を侵害して、被害者のメールボックスへの継続的なアクセスを可能にする。

Fancy Bearは2023年にはRoundcubeのみに注力していたが、2024年には他の3つのウェブメールサービスにも対象を拡大した。

「MDaemonの脆弱性――CVE-2024-11182(現在は修正済み)――はゼロデイであり、おそらく脅威グループが発見したものだ。一方、Horde、Roundcube、Zimbraのものは、古く既知の欠陥で、(すでに)修正されていた」と、Operation RoundPressを発見し調査したESET研究者のMatthieu Faouは述べた。

さらに最近では、同グループはRoundcubeのより新しい脆弱性であるCVE-2023-43770の悪用も開始した。

「過去2年間、RoundcubeやZimbraのようなウェブメールサーバーは、[Fancy Bear]、GreenCube、Winter Vivernを含む複数のスパイグループにとって主要な標的となってきた。多くの組織がウェブメールサーバーを最新の状態に保っておらず、また脆弱性はメールメッセージを送ることで遠隔から発動できるため、攻撃者にとってメール窃取の目的でこうしたサーバーを狙うのは非常に都合がよい」とFaouは説明する。

レポートの中で、ESETは4つのJavaScriptペイロードの分析を提示した。

Fancy Bearの背後にいるのは誰か?

Fancy Bearはロシアのサイバースパイ・グループで、Sednit、  APT28、Pawn Storm、Forest Blizzard、Sofacy Groupなど多くの別名でも知られている。同グループは2004年から活動しており、ロシア軍参謀本部情報総局(GRU)と関係があるとみられている。

2018年、米国特別検察官による起訴状は、Fancy BearをGRU第26165部隊であると特定した。

米司法省は、2016年の米国選挙直前に発生した民主党全国委員会(DNC)へのハッキングの責任者の一つとして同グループを名指しした。また同グループは、世界的テレビネットワークTV5Mondeへのハッキング、世界反ドーピング機関(WADA)のメール流出、その他多くの事件の背後にいるとも推定されている。

翻訳元: https://www.infosecurity-magazine.com/news/fancy-bear-russia-cyber-espionage/

ソース: infosecurity-magazine.com
#Fancy Bear(APT28) #Roundcube #Webメール攻撃 #XSS脆弱性 #Zimbra #ウクライナ戦争 #サイバー諜報 #スピアフィッシング #ゼロデイ(CVE-2024-11182) #ロシア系ハッカー

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新