記事本文(要約)
ロシアのサイバー脅威アクター、通称APT28(Fancy Bearとも呼ばれる)は、2022年から西側の物流企業や技術企業を標的にした国家支援キャンペーンを行っています。この活動は、ロシア軍参謀本部GRUの第85特殊任務センター、26165号部隊に関連付けられています。
このキャンペーンのターゲットには、ウクライナへの外国支援の調整、輸送、配送に関与する企業が含まれ、オーストラリア、カナダ、フランス、ドイツ、米国など11カ国の機関から共同アドバイザリーが発表されました。
このサイバー諜報キャンペーンは、IPカメラの広範な標的化と関連があり、物流と技術企業を中心に狙っています。また、APT28は、2023年の「Operation RoundPress」でウェブメールサービスのクロスサイトスクリプティング脆弱性を利用して、東ヨーロッパやアフリカ、ヨーロッパ、南米の政府や防衛企業を狙ってきたとされています。
攻撃手法には、パスワードスプレー攻撃、フィッシング攻撃、Microsoft Exchangeのメールボックス権限を改ざんする手法が含まれ、NATO加盟国やウクライナの防衛、交通などの組織をターゲットにしました。バルカン半島やフランスなど多くの国で被害が報告されています。
攻撃者による初期アクセスは、Brute-force攻撃による認証情報の推測、フィッシング攻撃によるマルウェア配信、CVE-2023-23397を含むさまざまな脆弱性の利用など、7つの手法で行われました。攻撃後は、Reconnaissance(偵察)やメールデータの継続的収集を行い、ImpacketやPsExecなどのツールを用いてネットワーク内で横移動し、情報を盗みます。
この開示はまた、疑いのあるロシアの脅威アクターが偽のreCAPTCHAページをホスティングして、ユーザーをLumra Stealerのダウンロードに誘導していると報告されています。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 21 May 2025 23:36:00 +0530
Original URL: https://thehackernews.com/2025/05/russian-hackers-exploit-email-and-vpn.html
詳細な技術情報
以下は、指定された文章に基づくセキュリティ脅威とその対策についての詳細な分析です。
CVE番号と脆弱性
- CVE-2023-23397: Microsoft OutlookのNTLM中継攻撃を許す脆弱性。
- CVE-2020-12641, CVE-2020-35730, CVE-2021-44026: Roundcubeに存在するXSSなどの複数の脆弱性。
- CVE-2023-38831: WinRARの脆弱性で、それにより任意のコード実行が可能。
脆弱性の仕組み
- NTLM中継攻撃: 認証を中継してセッションを乗っ取る手法で、主にネットワーク信頼を悪用。
- XSS(クロスサイトスクリプティング): 攻撃者が悪意のあるスクリプトをWebページに注入し、ユーザーの情報を盗む攻撃。
- SQLインジェクション: 悪意のあるSQLコードを挿入することで、データベースの情報を不正に操作。
- WinRAR: パスワード付きアーカイブを誤って解凍させることで任意のコードを実行。
攻撃手法
- ブルートフォース(Brute-force): 複数の可能性でログインを試みる。
- スピアフィッシング(Spear-phishing): 標的型のフィッシング攻撃で、ウイルスや偽のログインページを使用。
- メールボックス権限の改ざん: ログを収集し続けるためにメールボックスを不正操作。
- ラテラルムーブメント: Impacket、PsExec、RDPを用いてネットワーク内を横断。
潜在的な影響
- 組織情報の盗難: 特に防衛や物流、IT関連企業に対する重大な情報漏洩のリスク。
- 持続的なスパイ活動: 攻撃者による情報収集と監視が長期間持続。
- 業務の停止や中断: 攻撃によるシステム不正利用やサービス障害。
推奨される対策
- 認証強化: 多要素認証(MFA)の導入。
- パッチ適用: 最新のパッチを適用し、特にCVE指定された脆弱性に対処。
- フィッシング対策: フィッシング攻撃の教育と疑わしいメールのフィルタリング。
- ネットワーク監視: 異常な動きを検知するためのセキュリティ監視。
- 権限管理: 過剰なアクセス権の見直しと権限の厳格化。
- セキュリティツールの活用: EDRおよびNDRソリューションを用いた攻撃の検知と阻止。
