出典:Alamy Stock Photo経由のphoto-fox
Trend Microからの新しい研究により、Fancy Bearの広大なリーチが強調されています。Fancy BearはAPT28およびForest Blizzardとしても知られています。
Fancy Bearはロシア軍事情報機関の指示下で活動していると考えられるサイバースパイ集団です。このグループは2000年代半ばから活動しており、ロシアの地政学的利益に沿った様々な政府と組織を標的にしてきました。Fancy Bearは以前ウクライナの重要インフラに対する破壊的な攻撃で非難されており、また他の外国政府の標的にも関与していました。また2016年の米国選挙干渉にも関与したとされています。
このグループは、ソーシャルエンジニアリングとフィッシングを含む試行済みの初期アクセスキャンペーン、およびゼロデイを含む重大な脆弱性を含む洗練された認証情報盗用キャンペーンで知られています。
Trend Microは最近数週間で、この脅威グループに関連する2つの研究論文を公開しました。3月26日、セキュリティベンダーは、このアクター(Pawn Stormと呼ぶ)が「Prismex」として知られるマルウェアコンポーネントのコレクションを使用して、ウクライナとその同盟国(チェコ共和国、ポーランド、ルーマニア、スロバキア、スロベニア、トルコを含む)の防衛サプライチェーンを標的にしていると述べています。
セキュリティベンダーはこれに続いて、別のブログ投稿を4月3日に公開しました。このブログは、2022年4月から2023年11月の間に、Pawn Stormが様々な方法でNTLMv2ハッシュリレー攻撃を使用して広範な世界的な標的に対して行ったものに専念しています。これらの攻撃では、Pawn Stormはターゲットシステムと被害者の間の認証認証情報を傍受および転送し、ユーザーの正確なパスワードを必要とせずにログインをキャプチャしました。
これらのキャンペーンとAPT28の疑わしいルーター攻撃の間、世界中の政府によって報告されました。APT28の影響は相変わらず明らかです。多くの脅威クラスターが来ては去る、あるいは少なくとも変わりますが、Fancy Bearは過去10年間関連性を保ち続けています。
2つのFancy Bearキャンペーン
Prismexは複数のWindows脆弱性を利用しており、Trend Microは3月下旬のブログ投稿で述べています。これには「確認されたWindowsゼロデイ」のCVE-2026-21513およびMicrosoft OfficeのバグCVE-2026-21509が含まれています。ブログで説明されたキャンペーンは少なくとも2025年9月までさかのぼりますが、今年1月に加速しました。
「Prismexは高度なステガノグラフィ、コンポーネントオブジェクトモデル(COM)ハイジャック、および正当なクラウドサービスの悪用をコマンドアンドコントロールに組み合わせている」とブログに書かれていました。特別なマルウェアはスパイ活動と破壊機能の両方を含み、後者はワイパーコマンドを含みます。これはAPT28のより最近のMOと一致しており、スパイ活動と、より破壊的な脅威活動の両方を含んでいます。
スパイ活動と潜在的な破壊機能の両方が観察され、ワイパーコマンドを含みます。
次に、NTLMv2ハッシュリレー攻撃があります。これらについて、APT28は重大な(パッチされた)Outlook脆弱性CVE-2023-23397を利用しました。攻撃者は.msgファイルを介して悪意のあるカレンダー招待を送信し、これが脆弱なAPIエンドポイントをトリガーします。「被害者が攻撃者のSMBサーバーに接続すると、リモートサーバーへの接続はユーザーのNTLMプロトコルネゴシエーションメッセージを送信し、ユーザーのNet-NTLMv2ハッシュを含みます。攻撃者はNTLM認証をサポートする他のシステムに対する認証にこれを使用できます」とTrend Microは述べています。
2023年後半、APT28はヨーロッパの政府機関に対する認証情報をターゲットにしたフィッシングキャンペーンに従事しました。他のスピアフィッシングとブルートフォース認証情報攻撃にも関与しているのが観察されています。自分自身を匿名化するため、APT28はVPN、Tor、データセンターIPアドレス、および侵害されたEdgeOSルーターを利用しました。
TrendAIの主任脅威研究者Feike Hacquebordは、ダークリーディングに、研究は2024年からの調査結果に基づいているものの、防御側にとって関連があるのは、Pawn Stormの古い方法論が今日でも有効なままであるということだと述べています。DNS横取りネットワーク技術は、例えば20年以上前のものです。
「Pawn Stormが依然として有効である場合、古い技術を敬遠しないことを示しています」とHacquebordは言います。「ここでの別の教訓は、Pawn Stormはただ高いプロフィールのエンティティ(NATO、西側諸国の防衛省など)を標的にするだけではなく、地方政府、発展途上国の政府、さらには小さな企業など、より小さな魚と思われるかもしれない標的も標的にしているということです。」
これら2つの研究レポートの後、FBIは火曜日に警告しましたロシアのGRUがFancy Bearを通じて、ルーターを悪用して世界中の組織から認証情報を盗んでいると。同機関はCVE-2023-50224を経由して侵害されたTP-Linkルーターを特定しました。2024年以降、GRU関係者はデバイス設定を変更して、攻撃者が制御するDNSリゾルバーを導入し、ユーザーが証明書エラー警告を通じて移動した場合に、暗号化されたトラフィックに対する中間者攻撃を設定しました。
この警告の一部として、FBIは米国司法省と協力して、「最近、悪意のあるDNS横取り操作を容易にするために使用される侵害された小規模オフィス(SOHO)ルーターのGRUネットワークを妨害した」と述べました。
英国の国家サイバーセキュリティセンター(NCSC)および他のグローバルパートナーは、同様の警告を共有しました。
防御者はどのように対応できるか?
これらのキャンペーンの一部の標的には、ヨーロッパとラテンアメリカの軍、北米を含む世界中の防衛産業組織、エネルギーセクター組織、および他の重要なグローバル組織が含まれていました。
「Pawn Stormは20年間活動していますが、世界中の高い地位の標的のネットワークと電子メールに侵入する積極性と決定を保持しています」とTrend Microのブログ投稿に書かれていました。
その大きな質問は、防御者がどのように先手を取るはずかです。小規模な組織であれ、合理的にリソースが豊富な政府であれ、GRUの全力を活用して20年のAPTと競争するのは難しいです。
Suzu Labsの最高技術責任者兼主任であるDenis Calderoneは、ダークリーディングに対し、そのような質問はAPT28の洗練度レベルと一致する必要があることを前提としていると述べており、答えは彼が言うように「そうではない」です。アクターの洗練さの多くは初期アクセス後に何が起こるかにあることを覚えておく価値があります。Calderoneは追加しており、その前に、セキュリティプロフェッショナルが誰からでも見るのと同じたくさんのトリックスです:フィッシングメール、ClickFixプロンプト、弱い認証情報の悪用などです。彼は基本に焦点を当てることをお勧めします。
多要素認証は「パスワードスプレーを停止します。パッチ[Microsoft] Officeは、CVE-2026-21509を停止します。ルーターファームウェアを更新し、デフォルト認証情報を変更することで、FrostArmadaを停止します。ユーザーが実際のCAPTCHAがシステムツールを開くように求めることは決してないことをトレーニングすると、ClickFixが停止します。」Calderoneは言います。「それらはすべて任意の予算で達成可能です。正直な警告は、それらの基本が失敗し、APT28が内部に入った場合、専用のセキュリティ操作なしで小規模な組織は彼らを捕まえるのが非常に難しいでしょう。それは管理検出サービスまたはセクター固有のISACが重大になる場所です。」
Averlonの最高技術責任者(CTO)であるVishal Agarwalは、Fancy Bearのような脅威アクターであってもゼロトラスト、最小権限アクセス、強力なアイデンティティコントロール、およびジャストインタイムアクセスが、攻撃者がどこまで速く移動できるかを制限できると述べています。
Calderoneを反響して、BreachLockの創設者兼CEOであるSeemant Sehgalは、Fancy Bearに簡単な勝ちを拒否することを主張しました。
「Fancy Bearの成功は魔法ではありません。それは公開されたサービス、弱いアイデンティティコントロール、およびほとんどの組織がすでに存在することを知っているギャップの悪用に基づいています」とSehgalは言います。「最もうまく持ちこたえている組織は必ずしも最大または最も資金が豊富ではなく、むしろ継続的に攻撃対象を減らし、強力なアイデンティティを適用し、最も重要なことに、毎朝起きて、すでに標的であると仮定している組織です。」
最新のダークリーディング機密ポッドキャストを見逃さないでください。セキュリティボスはAIに全力投入:その理由、RedditのCISO Frederick LeeとOmdia分析家Dave Gruberは、SOCでのAIと機械学習、成功したデプロイメントについて(またはされていない)、およびAIセキュリティ製品の将来について説明しています。今すぐ聞く!
翻訳元: https://www.darkreading.com/threat-intelligence/russias-fancy-bear-apt-continues-global-onslaught
