単純なウェブサーバの設定ミスにより、サイバーセキュリティ研究者はロシアの高度な国家支援脅威グループであるFancyBearの内部動作を前例のない形で見ることができました。
Ctrl-Alt-Intelの研究者は、FancyBearがスパイ活動を管理するために使用するコマンドアンドコントロールサーバ上の公開されたディレクトリを発見しました。
この重大な運用セキュリティ侵害により、ヨーロッパの政府機関と軍事機関を標的とした大規模な認証情報窃盗とメール流出キャンペーンの背後にあるツール、戦術、および盗まれたデータが明らかになりました。
驚くべきことに、脅威アクターは、ウクライナコンピュータ緊急対応チームにより公開で彼らの活動にリンクされた後でさえ、500日以上同じサーバIPアドレスを使用し続けました。
公開されたサーバは、主にRoundcubeやSquirrelMailなどのウェブメールプラットフォームを侵害するように設計されたモジュール式の悪用ツールキットをホストしていました。
FancyBearはRoundcubeの欠陥CVE-2023-43770を含むクロスサイトスクリプティング脆弱性を悪用して、被害者のウェブメールセッションに悪意のあるJavaScriptを注入しました。
「worker.js」や「worker2.js」などのコアスクリプトは、被害者が単に悪意のあるメールを表示するとすぐに静かに実行され、さらなる操作は必要ありませんでした。
実行されると、スクリプトは永続的なアクセスを維持し、機密データを収集するために様々なコンポーネントをデプロイしました。
ペイロードはプレーンテキストメールアドレスを正常に抽出し、隠しフォームを使用してブラウザ自動入力認証情報をキャプチャし、時間ベースのワンタイムパスワードシークレットを直接盗むことで二要素認証をバイパスしました。
さらに、このツールキットは被害者の受信トレイと送信済みフォルダ内のすべてのメールを体系的にリストし、ダウンロードしました。
公開されたテレメトリログは、FancyBearのキャンペーンの驚異的な成功と地理的範囲の詳細を示していました。
FancyBearが収集した情報は膨大で、主要な軍事高官の通信ネットワークを効果的に暴露しました。
脅威グループは複数プラットフォーム対応の悪用ツールキット開発において高度な技術能力を実証しましたが、自身のコマンドアンドコントロール基盤を保護することに失敗したため、最終的には全作戦を公開に暴露しました。
翻訳元: https://cyberpress.org/fancybear-credential-theft-exposed/