‘これは組織の認証情報盗難、データ操作、より広範な侵害のリスクに晒す’: UK…

何が起こったのか？

キャンペーンは2025年8月に始まったようで、フォレストブリザードは企業ネットワークを直接ターゲットにする代わりに、ホームルーターなどのエッジデバイスに焦点を当てました。これらはしばしば企業環境に存在するような強力なセキュリティ管理と監視の欠落が特徴です。

マイクロソフトは攻撃者がこれらのエンドポイントにどのように侵入するかを明示的に述べていませんが、デフォルトまたは簡単に破裂されるパスワード、または既知だが未パッチの脆弱性が簡単に悪用される可能性があることを示唆しています。

内部に入った後、彼らはデバイスの設定を変更してドメインネームシステム(DNS)トラフィックを彼らが管理するインフラストラクチャを通じてルーティングし、感染したデバイスがドメイン名をどのように解決するかを監視し、さらには影響を与えることさえ可能にします。

このアップストリームレベルで動作することで、APT28はコンシューマーおよびエンタープライズ環境全体のネットワークアクティビティに関する広範な可視性を得ました。これにより、大規模での受動的な監視を実施できるだけでなく、より価値の高い組織に対する、より標的化された後続攻撃の場を準備することができます。

DNSはインターネットのアドレス帳のようなものです。つまり、リクエストを正当なDNSサーバーに送信する代わりに、侵害されたデバイスは実際に攻撃者の管理下にあるサーバーにリダイレクトされています。より標的化されたケースでは、脅威アクターはDNス応答を操作して、被害者を正当なサービスの偽バージョンにリダイレクトし、これは中間者攻撃(AitM)として知られています。

次に、これにより、APT28のオペレーターがユーザーと実際のサービス間でデータが移動するときにそれをインターセプトすることができます。

被害者が無効なセキュリティ証明書に関するブラウザー警告を無視した場合(本当のところ、多くの場合、私たち多くはそうします)、攻撃者はログイン認証情報とメールを含む機密情報をキャプチャできる可能性があります。

誰がターゲットになっているのか？

マイクロソフトが強調するように、キャンペーンは政府機関、情報技術、電気通信、エネルギーを含む幅広い部門に影響を与えます。数千のホームおよび小規模オフィスデバイスが侵害されましたが、フォレストブリザードは最も侵襲的な後続攻撃を選択的に使用するようで、高価値のターゲットに焦点を当てています。

彼らはAitM攻撃を使用してメールとクラウドデータをインターセプトしますが、膨大な数の侵害されたデバイスにより、彼らは将来のおそらくより大規模なキャンペーンの多くの機動の余地を得ます。

「TLS AiTMのために特に標的化される組織の数は、脆弱なSOHOデバイスを持つネットワークのサブセットのみですが、マイクロソフト脅威インテリジェンスは、脅威アクターの広い範囲のアクセスにより、アクティブなトラフィックインターセプトを含むより大規模なAiTM攻撃が可能になる可能性があると評価しています」とマイクロソフトは警告しました。

「SOHOデバイスをターゲットにすることはロシア軍事諜報アクターにとって新しい戦術、技法、または手順(TTP)ではありませんが、マイクロソフトがエッジデバイスを悪用した後、AiTM のTLS接続をサポートするためにDNS ハイジャックを大規模で使用するのを観察したのはこれが初めてです。」

DNS ハイジャックから防御するため、マイクロソフトは組織が信頼されたDNS サーバーを実施し、悪意のあるドメインをブロックし、DNS ログを維持し、企業ネットワークでSOHOデバイスを避けることを助言しています。

AiTM と認証情報盗難については、アイデンティティ管理の一元化、シングルサインオンの有効化、多要素認証(MFA)とパスキーの実施、条件付きアクセスポリシーの適用、継続的アクセス評価を伴うリスクサインインの監視を推奨しています。組織はアイデンティティアクティビティをログに記録し、フィッシング耐性のあるMFAで特権アカウントを保護し、システマティックなアイデンティティ侵害からの復旧に関するマイクロソフトのインシデント対応のベストプラクティスに従う必要があります。マイクロソフト Defender for Endpointを介したネットワーク保護も、悪意のあるサイトをブロックするために推奨されます。