TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

ロシアのAPT28ハッカーがルーターをハイジャックして認証情報を盗む、英国セキュリティ機関が警告

ロシアのハッキンググループAPT28は、脆弱なインターネットルーターを悪用して、攻撃者が管理するサーバーを経由してトラフィックをリダイレクトし、対象組織から認証情報を盗んでいると、英国政府が警告した。

4月7日に公開された新しい勧告で、英国のナショナル・サイバー・セキュリティ・センター(NCSC)は、APT28に属するとされる2つの新しい悪質なキャンペーンを検出したと述べた。

両キャンペーンは仮想プライベートサーバー(VPS)のリストに関連しており、これらは2024年以降、APT28によって積極的に変更され、悪質なドメインネームシステム(DNS)サーバーとして機能している。

「これらのVPSは通常、APT28の行為者が公開されている脆弱性を利用して悪用した可能性があるルーターから発信される大量のDNS要求を受け取ります」と、NCSC勧告は述べた。

NSCは、初期のDNS横取り操作は「機会主義的な性質」であると評価しており、APT28ハッカーはこの方法を使用して、大規模な候補者プールの可視性を最初に獲得し、その後、悪用チェーンの各段階でユーザーをフィルタリングして、「可能性のある情報価値のある被害者」に分類する可能性があることを意味している。

英国政府はAPT28を「ほぼ確実に」ロシア参謀本部情報総局(GRU)の第85特殊作戦センター(GTsSS)軍事情報部隊26165に関連付けており、Fancy Bear、Forest Blizzard、Strontium、Sednit Gang、Sofacyなど、他の多くの名前で知られている。

同じく4月7日に公開された別の報告書で、Microsoft Threat Intelligenceは、APT28とStorm-2754として追跡されているそのサブグループが、「少なくとも2025年8月以降」、小規模オフィス/ホームオフィス(SOHO)ルーターを悪用するためにVPSサーバーを侵害し始めたと述べた。

最初の活動クラスターはTP-Linkルーターを標的とする

英国のサイバーセキュリティ機関によって特定された最初の活動クラスターでは、侵害されたSOHOルーターのダイナミックホスト構成プロトコル(DHCP)DNS設定(ほとんどTP-Linkルーター)は、行為者が所有するIPアドレスを含むように変更された。

このキャンペーンに登場するルーターモデルの1つであるTP-Link WR841Nは、特別に作成されたHTTP GET要求を通じて、パスワード認証情報などの情報を取得することを可能にする脆弱性であるCVE-2023-50224を使用して悪用された可能性が高い。

これらの設定はその後、ダウンストリームデバイス(例:ラップトップと電話)によって継承され、APT28のターゲティング基準に一致する要求が、脅威行為者が所有するIPアドレスに悪質なDNSサーバーによって解決された。

APT28ハッカーはその後、ユーザーのブラウザセッションとデスクトップアプリケーションを含むフォローオン接続に対して中間者(AitM)攻撃を実施しようとし、おそらくWebおよびメール関連サービスのパスワード、OAuthトークン、およびその他の認証情報を収集する。

「この盗まれたデータを使用した後続の悪質なログインは、この勧告に記載されていないさらなるインフラストラクチャから発信される可能性があります」と、英国機関は述べた。

ルーターの侵害によるDNS横取り。出典:Microsoft Threat Intelligence

2番目の活動クラスターはMikroTikおよびTP-Linkルーターを標的とする

2番目の活動クラスターでは、NSCはMikroTikおよびTP-Linkルーターのモデルを含む可能性のある侵害されたデバイスからのDNS要求を受け取るサーバーのサブセットを観察した。

このキャンペーンでは、DNS要求はこれらのサーバーからさらなる遠隔の行為者が所有するサーバーに転送された。

このインフラストラクチャクラスターはまた、ウクライナにしばしば位置し、行為者にとって情報価値があると考えられるMikroTikルーターの少数に対する対話的な操作に関与していた。

APT28の認証情報窃盗を停止するためのNCSC勧告

  • 攻撃者が最も重要な資産への特権付きアクセスを簡単に獲得することを防ぐために、ブラウズダウンアーキテクチャを使用する
  • 最新のサポートされているバージョンを使用し、セキュリティ更新を迅速に適用し、アンチウイルスをデプロイし、定期的にスキャンして既知のマルウェア脅威を検出する
  • アプリケーションをホワイトリストに追加する
  • ホストベースの侵入検知システムをデプロイする
  • 多要素認証(MFA)を使用する

NSCは以前にAPT28への活動に属するものを起因させており、ドイツ議会に対する2015年のサイバー攻撃および2018年4月の化学兵器禁止機関(OPCW)に対する試みられた攻撃が含まれている。

翻訳元: https://www.infosecurity-magazine.com/news/russia-apt28-hijack-routers-uk-ncsc/

ソース: infosecurity-magazine.com
#APT28 #DNS横取り #Fancy Bear #MikroTik #SOHO #TP-Link #ルーター侵害 #中間者攻撃 #脆弱性 #認証情報窃盗

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新