FancyBearの最新の運用セキュリティ障害により、盗まれた認証情報、2FA秘密、ヨーロッパの政府および軍事ネットワークへの継続的な標的化に関する詳細な洞察が詰まったライブロシアスパイサーバが暴露されました。
CERT‑UAおよびHunt.ioによって以前に報告されたAPT28/FancyBearに結びついた暴露されたインフラストラクチャは、侵害の規模と「高度」と説明されることが多い脅威アクターの不注意さの両方を明らかにしています。
Hunt.ioの「Operation Roundish」の調査結果に基づいているCtrl‑Alt‑Intelの研究者は、Namecheapインフラストラクチャ上でホストされている203.161.50[.]145の同じC2サーバー上で2番目のオープンディレクトリを特定しました。
このオープンディレクトリにはC2ソースコード、ペイロード、ログ、および流出データが含まれており、攻撃者自身のサーバーからFancyBear操作の稀な可視性を提供しました。
アナリストは、2,800通以上の流出メール、240以上の認証情報セット(TOTP 2FA秘密を含む)、約140個の永続的な転送ルール、および11,500以上の収集されたコンタクトアドレスを発見しました。
被害者のメールボックスはウクライナ、ルーマニア、ブルガリア、ギリシャ、セルビア、北マケドニアの政府および軍事機関に属しており、ウクライナの地域検察、ルーマニア空軍、ギリシャ国防総参謀長が含まれています。
これらの国の多くはNATOの加盟国であるか、NATOと密接に関係しているため、標的化はウクライナに関連する軍事ロジスティクスと支援に対するロシアの戦略的関心と一致しています。
FancyBearサーバ
CERT‑UAは、2024年末からの勧告において同じIPアドレス203.161.50[.]145をAPT28活動に結びつけており、Roundcube悪用およびClickFix/偽のreCAPTCHAスピアフィッシングチェーンをカバーしていました。
この公開露出にもかかわらず、FancyBearは同じサーバから約500日間、2026年初頭まで操作を続けており、APTインフラストラクチャが一度焼かれると迅速に回転するという一般的な仮定に矛盾しています。
CensysテレメトリーとHunt.ioキャプチャは、2026年1月から3月の間にポート8889上に複数のオープンディレクトリを示しており、そのうちの1つは後にCtrl‑Alt‑Intelによって追加ツールとログをホストしていることが判明しました。
根本原因は基本的だが重大なOPSEC過ちでした:ペイロードと流出データをステージングしながらHTTPオープンディレクトリを公開のままにしておくことです。
- これらの日付は、Censysがスキャンしてオープンポートを特定した時です。ただし、これらの時間の前後も開いていた可能性が非常に高いです
- この脅威アクターは2026年1月から3月にかけて複数のオープンディレクトリを持っていましたが、それぞれポート
8889上にありました
2026年1月13日10:41 UTCにHunt.ioによってスキャンおよびアーカイブされたオープンディレクトリは、Ctrl-Alt-Intelによって議論されたものとは異なるディレクトリ内に位置していました。
これにより、防御者は完全なツールキットをダウンロードするだけでなく、ファイルとログが更新される際にキャンペーン進化とオペレーター行動をほぼリアルタイムで観察することができました。
- ログインしたユーザーを特定します。
- 隠された自動入力フォームとクリックベースの流出を使用して認証情報を盗みます。
- Inbox全体とSentフォルダ全体を.emlファイルとして一括流出させます。
- Sieve転送ルールを追加し、アドレス帳を盗み、TOTP秘密を抽出するモジュラースクリプトをロードします。
1つのモジュール、keyTwoAuth.jsは、twofactor_gauthenticatorプラグインを標的にして、TOTP種子と回復コードを2FA設定ページから直接引き出し、base64形式で流出させます。
C2ログには、FancyBearが有効なTOTP秘密をキャプチャし、高価値メールボックスの2FA保護を長期的にバイパスすることを効果的に可能にした数百のエントリが表示されています。
フィッシングメールはドメインdocs.google.com.spreadsheets.d.1ip6eeakdebmwteh36vana4hu-glaeksstsht-boujdk.zhblz[.]comへのリンクを含んでいました。ここでJohn Hammondの reCAPTCHA Phish POCが、C2 IPアドレス203.161.50[.]145を使用したMetasploitペイロードを配信するために使用されました。
別のモジュール、addRedirectMailBox.jsは、RoundcubeのManageSieve統合を悪用して、受信するすべてのメールを攻撃者が制御するProtonMailアカウントに静かにコピーする常時オンの転送ルールを作成し、初期XSSパスが閉じられても存続します。
地政学的および防御的な含意
被害者セットは、ウクライナにリンクされた軍事支援、ロジスティクス、または訓練を提供する国(ルーマニア、ブルガリア、ギリシャ、ウクライナ自体を含む)と密接に一致しており、標的選択がランダムな日和見主義ではなく地域軍事関連性によって駆動されているという見方を支持しています。
このキャンペーンはESETの以前に報告された「Operation RoundPress」およびCERT‑UAのClickFix/偽のreCAPTCHAフィッシング操作と重なり、GRUにリンクされたAPT28/FancyBearへの帰属を強化しています。
防御者にとって、このインシデントはいくつかの優先事項を強調しています:RoundcubeおよびSquirrelMailなどのWebメールプラットフォームの保護、可能な限りManageSieveおよび危険なプラグインの無効化または強化、およびzhblz[.]comおよび203.161.50[.]145などの指標の監視。
重要なことに、高度な国家行為者でさえ単純なOPSEC過ちを犯し、防御者がスパイ活動を内側から見て破壊することができる稀なウィンドウを作成できることを示しています。
翻訳元: https://gbhackers.com/fancybear-server-leak/
