APT28、ロシアからWi-Fi経由で米企業を攻撃 標的アクセスポイント付近の別組織を侵害したのち | Codebook|Security News
Codebook|Security News > Articles > Threat Report > APT28、ロシアからWi-Fi経由で米企業を攻撃 標的アクセスポイント付近の別組織を侵害したのち

Threat Report

AI

APT28

Fancy Bear

APT28、ロシアからWi-Fi経由で米企業を攻撃 標的アクセスポイント付近の別組織を侵害したのち

Yoshida

Yoshida

2024.11.25

11月25日:サイバーセキュリティ関連ニュース

APT28、ロシアからWi-Fi経由で米企業を攻撃 標的アクセスポイント付近の別組織を侵害したのち

BleepingComputer – November 22, 2024

ロシアの国家支援型ハッカー集団APT28(GruesomeLarch/Fancy Bear/Forest Blizzard/Sofacy)が、新たな手法「ニアレストネイバーアタック(nearest neighbor attack)」を使って、遠く離れた場所から米国企業の企業用Wi-Fiネットワークに侵入したという。Volexityの報告により明らかとなった。

同手法は、まず標的企業のWi-Fi圏内にある近くの建物の組織を侵害し、目的の企業用Wi-Fiに侵入してターゲットを攻撃するというもの。

Volexityによると、APT28はまず標的組織Aの公開サービスを狙ったパスワードスプレー攻撃を経て同組織のエンタープライズWi-Fiネットワークの認証情報を入手したが、この公開サービスには多要素認証(MFA)が設定されていたため、入手した認証情報は使えなかったという。Wi-Fi経由での同サービスへのアクセスにはMFAは不要だったが、ロシアから米国のWi-Fiを利用することは不可能。そこで組織Aの無線ネットワークへの中継点となり得る、近隣のビル内にある組織の調査が行われたとされる。これは別の組織を侵害し、そのネットワーク上で有線と無線の両方に接続できるデュアルホームデバイス(ラップトップやルーターなど)を見つければ、その無線アダプターを使用して標的の企業Wi-Fiに接続できるというアイデアに基づいている。APT28は複数組織を侵害し、有効なアクセス認証情報を使ってデイジーチェーンの形式で接続を行っていたという。

最終的に組織AのWi-Fiアクセスポイントへ接続可能な距離にある適切なデバイスを見つけた同脅威アクターは、特権を持たないアカウントからリモートデスクトップ接続(RDP)を使って組織Aのネットワークに侵入。ラテラルムーブメントを経て、目的のシステムからデータを外部に持ち出した。

このほかにも、APT28がデータ収集の痕跡を最小限に抑えるためにWindowsのネイティブツールを使用していたこと、また組織Aが狙われた理由は、ウクライナに関する専門知識を持つ個人や、ウクライナに関連するプロジェクトからデータを集めるためだったことも明らかになっている。

オーストラリア政府、誤情報対策法案を撤回

TechCrunch – November 24, 2024

オーストラリア政府が、誤情報対策法案を撤回した。この法案の主旨は、誤った情報の拡散を阻止できなかった場合に、オンラインプラットフォームにグローバル収益の最大5%の罰金を科すというもの。オーストラリア通信メディア庁が、デジタルプラットフォーム上の誤情報に関する強制力のある規則を策定することを認める内容だった。

ミシェル・ローランド通信担当相は声明で、この法案は「オンライン上の有害な誤情報や偽情報の拡散を防止し、最小限に抑えるためのシステムやプロセスについて、大手テクノロジー企業に説明責任を負わせるという、前例のないレベルの透明性を実現するもの」だったとしながらも、「公の場での声明や上院議員とのやり取りを踏まえ、この法案を上院で立法化する道筋がないことは明らかだ」と述べた。

今年9月にこの法案の改訂版が提出された際、イーロン・マスク氏は豪州の議員を「ファシスト」と呼び、同法案を批判していた。また、オーストラリア現政権の野党に所属するデービッド・コールマン議員もこの法案に固く反対しており、各プラットフォームが罰金を避けるため、言論の自由を抑制するようになるだろうと主張していた一人。同法案が事実上廃案となった後も、コールマン議員は「これは、民主主義を裏切る言論の自由への衝撃的な攻撃だった」と投稿し、同国の首相に対して「この法案に関するいかなる改訂版も排除」するよう呼びかけた。

一方ローランド通信担当相は声明で、「民主的機関を強化し、オーストラリア国民のオンライン活動の安全性を維持するための他の提案」として、ディープフェイクを対象とした法律、選挙における「政治広告の真実性」の徹底、AI規制などを挙げ、これらについて議会での支持を呼びかけている。

【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド

ランサムウェアレポート:『2024 Ransomware? What Ransomware?』

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート2024 Ransomware? What Ransomware?の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック要件主導型インテリジェンスプログラムの構築方法の日本語訳バージョンを無料でダウンロードいただけます。

<ガイドブックの主なトピック>

本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

  • 脅威プロファイルの確立
  • ステークホルダーの特定・分析
  • ユースケースの確立
  • 要件の定義と管理
  • データの収集と処理
  • 分析と生産
  • 報告
  • フィードバック
  • 実効性の評価

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ