ロシア政府支援のハッカーグループ、サイバー犯罪者からパスワードを購入していた

nosa

2025.10.17

5月28日：サイバーセキュリティ関連ニュース

ロシア政府支援のハッカーグループ、サイバー犯罪者からパスワードを購入していたことが判明

SecurityWeek – May 27, 2025

マイクロソフトは27日、ロシアとつながりのある新たなスパイグループ「Void Blizzard」（別名Laundry Bear）に関する技術文書を公開し、同グループが過去1年間、ヨーロッパと北米の政府機関や防衛関連企業からメール、ファイル、さらに一部のケースではTeamsのチャットまでを密かに盗み出していたと警告した。

同社の脅威ハンティングチームがオランダの情報機関と共同で発表した新しい報告書によると、Void Blizzardはサイバー犯罪エコノミーの中でも低コストな手段、つまり盗まれたユーザー名とパスワードをアンダーグラウンドマーケットから購入し、パスワードスプレー攻撃に利用していたという。また、このグループはここ数週間でより巧妙な「中間者攻撃」によるスピアフィッシング戦術を採用し、タイポスクワッティングしたドメインと偽の欧州防衛サミットへのQRコード招待状によって、Microsoft Entraのログインページを偽装していることが観測された。

今回のレポートには、Void Blizzardが中間者攻撃（AitM）機能を備えたオープンソースのフィッシングキットEvilginxを用いてAitMフィッシングキャンペーンを実行し、入力されたユーザー名とパスワード、サーバーで生成されたCookieなどの認証データを窃取しているとの見解も記された。これらの手法は国家支援型サイバースパイ活動の典型とされるものの、実行した攻撃において幅広く侵害に成功していることから、さほど巧妙でないTTPであっても、使命感の強いアクターに利用された場合には持続的な脅威となり得ることが浮き彫りになっているという。また被害者リストがほかのロシア系サイバースパイグループと重複しているため、マイクロソフトはVoid Blizzardが軍事または外交計画に活用できる戦時情報を盗んでいる可能性が高いとみている。

中国が台湾系ハッカーグループを非難　地元IT企業などを狙ったサイバー攻撃で

The Record – May 28th, 2025

中国当局は27日、地元IT企業と国内全域の重要インフラにサイバー攻撃を仕掛けたとして、台湾の与党・民主進歩党（DPP）の支援を受けているとされるハッカーグループを非難した。

広州警察によると、中国十数省で1,000件以上の主要ネットワークが同グループの攻撃を受け、軍事、エネルギー、交通、政府各部門のシステムが標的にされたとのこと。このキャンペーンでは大規模なスパイ活動や粗雑なハッキングツールの使用に加え、フィッシングメール、ソフトウェアの脆弱性の悪用、総当たりのパスワード攻撃など高度ではない手法が用いられたという。

同警察はこれらの攻撃について、中国の安全保障の弱体化を意図した「悪意ある妨害行為」と断じると共に、このグループによる活動が過去1年間で大幅に増加していると指摘した。また、当局は標的にされたテクノロジー企業やハッカーグループの名前を明らかにしていないが、近年に活動が活発化しているこのグループを国内サイバーセキュリティ機関が厳重に監視していると述べた。

一方、台湾の国家安全局は関与を否定し、ロイター通信への声明で中国共産党が「不正確な情報を操作し、外部を混乱させて」責任を転嫁していると反論。中国政府こそ長年にわたり、データ窃取や偽情報キャンペーン、認知戦による分断工作などで台湾へのサイバー攻撃に関与してきたと主張している。