8月3日:ロシア・ウクライナ関連ニュース
ロシアハッカーMidnight Blizzard、Microsoft Teamsを利用したフィッシングで世界の組織を標的に
Bleeping Computer – August 2, 2023
ロシア対外情報庁(SVR)とつながりを持つとされるハッキンググループAPT29(別名Midnight Blizzard、NOBELIUM、Cozy Bear)が、Microsoft Teamsを利用したフィッシング攻撃で政府機関を含む世界中の組織を標的にしているという。マイクロソフトのアドバイザリによれば、5月に始まったこのフィッシングキャンペーンにより、世界各国の40弱の組織が影響を受けたとされる。
攻撃者はまず、過去にすでに漏洩していたMicrosoft 365のテナントを利用して技術サポートサイトを模倣した新たなドメインを作成し、そこからマイクロソフトのサポートチームからのものに見せかけた偽のMicrosoft Teamsメッセージを送信する。これらのドメインは、マイクロソフトの正規ドメイン「onmicrosoft.com」の一部となっているため、ユーザーはこのメッセージが偽物であることに気づきづらい。メッセージは多要素認証(MFA)のプロンプトを承認するよう誘い出すような内容で、これにより攻撃者は標的から認証情報を盗み出そうとするのだという。
マイクロソフトは、APT29によって上記のようなドメインが他の攻撃に用いられるのを防ぐことができたとし、今回のフィッシングキャンペーンが及ぼした影響に対処・緩和するための取り組みを実施中であると述べている。
ロシアを拠点とするハッカーらが、新たな攻撃インフラを構築 一般向け報告書の先を行く狙い
Recorded Futureの報告書によると、2023年3月以降、BlueCharlieとして追跡されているグループは、さまざまな標的に対して攻撃を仕掛けるための新しいインフラを構築しているという。同グループは、フィッシングやオープンソースの攻撃的なセキュリティ・ツールのような比較的単純なテクニックを使って攻撃を行っているが、迅速に進化し、戦術を変える能力があることから、研究者らは「手強く、有能である」と警告していた。BlueCharlieの目的は、情報収集とクレデンシャルの窃盗、そしてウクライナと北大西洋条約機構(NATO)諸国を標的としたハッキング・アンド・リーク作戦である。このグループは、Calisto、COLDRIVER、Star Blizzard/SEABORGIUMとして複数の企業によって追跡されており、これまでにも政府、高等教育、防衛、政治部門の団体、非政府組織(NGO)、活動家、ジャーナリスト、シンクタンク、国立研究所などを標的としてきた。
Recorded FutureのInsikt Groupは、今回のキャンペーンで誰が標的にされたかを特定することはできなかったが、同グループが新たなインフラ構築の一環として94のドメインを登録するのを確認したと述べた。また、最近の作戦で見られるいくつかの戦術、技術、手順は過去の活動とは異なっており、BlueCharlieは自身の活動に関する一般向け報告書が研究者やセキュリティ企業によって開示されるのに対抗して、その作戦を進化させている可能性があるという。戦術の変更に加え、ドメインの登録にPorkbunではなくNameCheapを多く用いるようになるという変化も見られたほか、攻撃インフラの一部としてStark Industries、MIRhosting、Perfect Quality (PQ) Hostingといったプラットフォームを利用していることもわかっている。
サイバーセキュリティ企業Nisosによると、BlueCharlieは2017年から活動している他のロシアのグループともつながりがあり、少なくとも1人のロシア人、Andrey Korinets氏がこのグループとつながっているという。
親ロシア派のハッカーら、イタリアの銀行に対する攻撃を主張
イタリアのサイバーセキュリティ機関は火曜日(1日)、イタリア最大の銀行であるインテーザ・サンパオロを含む、少なくとも5つの銀行のWebサイトに対する分散型サービス拒否(DDoS)攻撃を検知したと発表した。NoName057(16)というグループが、月曜日(31日)に初めてイタリアへのサイバー攻撃を開始しており、銀行に加えて、イタリアの水道供給会社、全国経済紙、公共交通機関のWebサイトをハッキングしたと主張した。NoName057(16)は、ウクライナとその同盟国への攻撃で知られている。同グループは主にTelegramを通じて活動し、フォロワーに向けたメッセージの中で攻撃の犯行声明を出したり、他者を脅したりしている。サイバーセキュリティ企業SentinelOneの研究者によると、NoName057(16)によるDDoSインシデントは、「短時間の混乱を引き起こすが、それ以上の大きな影響はほとんどない」という。