TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

新たなロシア国家系ハッキンググループが欧州と北米を攻撃

新たに発見されたロシア国家系ハッキンググループが、欧州および北米全域の政府機関と重要セクターを標的にしていると、マイクロソフトが警告した。

マイクロソフトが「Void Blizzard」として追跡している同グループは、2024年半ば以降、主にNATO加盟国およびウクライナの組織を標的にしてきた。

テック大手によれば、同グループは多数の侵害に成功している。

これには、2024年10月にウクライナの航空関連組織の複数のユーザーアカウントを侵害したことが含まれる。この組織は、2022年にロシア参謀本部情報総局(GRU)のアクターであるSeashell Blizzardによって以前にも標的にされていた。

Void Blizzardは通常、侵害した組織から大量のメールとファイルを収集する。

同グループはロシア関連であると高い確度で評価されており、脅威アクターはクレムリンの戦略目標を支援するための情報収集を行っている可能性が高い。

主な標的業界には、通信、防衛産業基盤、医療、政府機関、非政府組織(NGO)、メディア、法執行機関、運輸が含まれる。

進化する初期侵入手法

マイクロソフトは、Void Blizzardの戦術・技術・手順(TTP)は他のAPTグループと比べて特段独自というわけではないと指摘した。しかし、初期侵入のアプローチは最近進化している。

当初、同グループは主に、認証情報の侵害を狙う高度ではない手法に注力していた。これにはパスワードスプレー攻撃や、犯罪エコシステムを通じた認証情報の調達が含まれる。

2025年4月、Void Blizzardが、欧州および米国のNGOセクターの20以上の組織を標的としたアドバーサリー・イン・ザ・ミドル(AitM)型のスピアフィッシング・キャンペーンを開始しているのが観測された。

このキャンペーンでは、タイポスクワッティングドメインを用いてMicrosoft Entraの認証ポータルを偽装していた。

脅威アクターは欧州防衛・安全保障サミットの主催者を装い、サミットへの招待状と称するPDF添付ファイルを開かせて標的を誘導しようとした。

添付ファイルには悪意のあるQRコードが含まれており、Void Blizzardのインフラであるmicsrosoftonline[.]comへリダイレクトした。同サイトには、Microsoft Entraの認証ページを偽装した認証情報フィッシングページがホストされている。

同グループはこのキャンペーンを用いて、入力されたユーザー名とパスワード、およびサーバーによって生成されるあらゆるCookieを含む認証データを窃取しているとみられている。

マイクロソフトは「この新たな戦術は、Void Blizzardが機会主義的ではあるが焦点を絞ったアクセス作戦を、より標的を絞ったアプローチで強化していることを示唆しており、重要セクターの組織にとってのリスクを高めている」と警告した。

侵害後、脅威アクターはExchange OnlineやMicrosoft Graphなどの正規のクラウドAPIを悪用し、共有メールボックスを含むユーザーのメールボックスや、クラウドにホストされたファイルを列挙する。

侵害されたユーザーがアクセス可能なクラウドホストデータ、およびあらゆるメールボックスやファイル共有の大量収集を自動化している可能性が高い。

少数のケースでは、Void BlizzardはMicrosoft TeamsのWebクライアントアプリケーションを介してMicrosoft Teamsの会話やメッセージにアクセスしている。

Void Blizzardがオランダ警察のデータを侵害

マイクロソフトの調査と同時期に、オランダの情報・治安当局は、Void Blizzardが複数のオランダ組織に対するハッキングの背後にいることを明らかにした。これには、警察から「業務関連の連絡先詳細」を盗み出したことが含まれる。

影響を受けたオランダの組織には通知されており、攻撃を緩和するための対策が講じられている。

オランダの情報・治安当局は、このグループをLaundry Bearとして追跡している。

同当局は、脅威アクターが先端技術を生産する西側企業に対するスパイ攻撃の実行に特に関心を持っていると指摘した。

オランダ軍事情報・治安局の局長であるピーター・リースィンク海軍中将は次のようにコメントした。「私たちは、このハッカー集団が世界中の多数の(政府)組織や企業から機微な情報へのアクセスを獲得することに成功しているのを確認してきました。彼らは欧州連合およびNATOの国々に特別な関心を持っています。Laundry Bearは、西側政府による軍事装備の購入と生産、そしてウクライナへの西側の武器供給に関する情報を探しています。」

翻訳元: https://www.infosecurity-magazine.com/news/russian-state-group-europe-america/

ソース: infosecurity-magazine.com
#AitM(中間者)フィッシング #Laundry Bear #Microsoft Entraなりすまし #Microsoft脅威インテリジェンス #NATO加盟国 #Void Blizzard #ウクライナ #オランダ警察データ侵害 #ロシア系APT #政府機関サイバー攻撃

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新