ロシアのAPT28、世界の重要組織を狙うサイバー攻撃の波紋

ロシアのAPT28、世界の重要組織を狙うサイバー攻撃の波紋 - innovaTopia - (イノベトピア)

Last Updated on 2024-09-26 07:21 by admin

ロシアの国家支援ハッカーグループAPT28が、2022年4月から2023年11月にかけて、NT LAN Manager (NTLM) v2ハッシュリレー攻撃を通じて世界中の高価値目標を狙っていることが明らかになりました。この攻撃は、外交、エネルギー、防衛、交通、労働、社会福祉、財政、親権、および地方自治体を扱う組織を対象としています。サイバーセキュリティ企業トレンドマイクロは、これらの侵入を「ネットワークへのブルートフォース攻撃を自動化するコスト効率の良い方法」と評価しており、APT28が時間をかけて数千のメールアカウントを侵害した可能性があるとしています。

APT28は、Blue Athena、BlueDelta、Fancy Bear、Fighting Ursa、Forest Blizzard(以前のStrontium)、FROZENLAKE、Iron Twilight、ITG05、Pawn Storm、Sednit、Sofacy、TA422などの名前でも知られています。2009年以降に活動を開始したとされるこのグループは、ロシアのGRU軍情報サービスによって運営されており、悪意のある添付ファイルを含むスピアフィッシングや戦略的なウェブ侵害を通じて感染チェーンを活性化させることで知られています。

2023年4月、APT28はCiscoのネットワーキング機器の既に修正された脆弱性を利用して、選択したターゲットに対して偵察を行いマルウェアを展開する攻撃に関与したとされています。また、2023年12月には、Microsoft Outlook(CVE-2023-23397、CVSSスコア:9.8)およびWinRAR(CVE-2023-38831、CVSSスコア:7.8)の特権昇格の脆弱性を悪用し、ユーザーのNet-NTLMv2ハッシュにアクセスして他のサービスに対してNTLMリレー攻撃を行い、ユーザーとして認証することが報告されています。

このグループは、攻撃の手法を改善し続けており、検出を回避するためにアプローチを微調整しています。これには、VPNサービス、Tor、データセンターのIPアドレス、および侵害されたEdgeOSルーターを使用してスキャンやプロービング活動を行うための匿名化レイヤーの追加が含まれます。また、TorやVPN経由で侵害されたメールアカウントからスピアフィッシングメッセージを送信する戦術も使用しています。

最近では、欧州政府に対する認証情報収集キャンペーンが、グループに以前に帰属されたパターンであるwebhook[.]siteのURLをホストするMicrosoft Outlookを模倣した偽のログインページを使用しています。また、2022年10月のフィッシングキャンペーンでは、特定の拡張子に一致するファイルをキャプチャし、それらをKeep.shという無料のファイル共有サービスに送信する「シンプルな」情報窃取ツールを経由して、大使館や他の高プロファイルなエンティティを狙いました。

【ニュース解説】

ロシアの国家支援を受けるハッカーグループAPT28が、2022年4月から2023年11月にかけて、NT LAN Manager (NTLM) v2ハッシュリレー攻撃を利用して世界中の重要な組織を標的にしていることが明らかになりました。この攻撃は、外交、エネルギー、防衛、交通、労働、社会福祉、財政、親権、地方自治体など、さまざまな分野の組織に対して行われています。

NTLM v2ハッシュリレー攻撃とは、攻撃者がネットワーク内で認証情報を傍受し、それを利用して別のサービスに対して認証を行う手法です。この攻撃により、攻撃者は被害者の身元を偽ってネットワーク内のリソースにアクセスすることが可能になります。

APT28は、様々な名前で知られており、2009年以降に活動を開始したとされています。このグループは、ロシアのGRU軍情報サービスによって運営されており、スピアフィッシングや戦略的なウェブ侵害を通じて感染チェーンを活性化させることで知られています。

このグループは、攻撃手法を絶えず改善し、検出を回避するためにアプローチを微調整しています。例えば、VPNサービスやTor、データセンターのIPアドレス、侵害されたEdgeOSルーターを使用して匿名化レイヤーを追加し、スキャンやプロービング活動を行うことが挙げられます。

APT28による攻撃の影響は広範囲に及びます。攻撃によって、機密情報の漏洩、ネットワークの不正アクセス、さらには組織の信頼性の損失につながる可能性があります。また、このような攻撃は、国家間の緊張を高め、サイバーセキュリティに対する警戒を強めることにもつながります。

一方で、APT28の活動は、サイバーセキュリティの重要性を再認識させる機会ともなります。組織は、攻撃を検出し対処するためのセキュリティ対策を強化する必要があります。これには、定期的なセキュリティトレーニング、多要素認証の導入、ソフトウェアの最新化、侵害検出システムの導入などが含まれます。

最終的に、APT28による攻撃は、サイバーセキュリティの脅威が常に進化していることを示しています。組織は、攻撃者が使用する新たな手法に対応するため、常に警戒を怠らず、セキュリティ対策を更新し続ける必要があります。

from Russian APT28 Hackers Targeting High-Value Orgs with NTLM Relay Attacks.

SNSに投稿する

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » ロシアのAPT28、世界の重要組織を狙うサイバー攻撃の波紋

“ロシアのAPT28、世界の重要組織を狙うサイバー攻撃の波紋” への1件のコメント

  1. 佐藤 智恵のアバター
    佐藤 智恵

    ロシアの国家支援ハッカーグループAPT28によるNT LAN Manager (NTLM) v2ハッシュリレー攻撃の活動が広範囲に及ぶことが明らかになり、多くの組織にとって深刻な脅威となっています。この攻撃は、外交、エネルギー、防衛、交通、労働、社会福祉、財政、親権、地方自治体など、様々な分野の重要な組織を狙っています。APT28の活動は、ロシアのGRU軍情報サービスによって運営されており、スピアフィッシングや戦略的なウェブ侵害を通じて感染チェーンを活性化させることで知られています。

    このような国家支援を受けたハッカーグループによる攻撃は、ただ単に個々の組織のセキュリティを脅かすだけでなく、国際関係においても緊張を高める要因となり得ます。サイバースペースは、現代の国際政治において重要な戦場の一つとなっており、サイバーセキュリティは国家安全保障の一環としても重視されています。

    APT28による攻撃が示すように、サイバーセキュリティの脅威は常に進化しており、組織はその対策を更新し続ける必要があります。これには、技術的な対策