Russian Hackers Spotted Targeting U.S. Military Weapons and Hardware Supplier
2022/12/07 TheHackerNews — ロシアとつながりのある国家的なハッキング・グループが、米国に拠点を置く軍事兵器正規サプライヤーである Global Ordnance が使用する、Microsoft のログイン・ページを偽装する攻撃インフラに関連していることが判明した。Recorded Future によると、TAG-53 と命名された脅威アクターが、この新しい攻撃インフラを提供しているようだ。この驚異アクターは、Blue Callisto/Callisto/COLDRIVER/SEABORGIUM/TA446 などの呼び名で、サイバーセキュリティ・コミュニティでは有名な存在だという。
Recorded Future の Insikt Group は、今週のレポートで、「複数の TAG-53 のキャンペーンに関する過去のレポートから、このクレデンシャル・ハーベスティング活動は、フィッシングによりもたらされたと思われる」と述べている。
サイバー・セキュリティ企業である Recorded Future は、38件の悪意のドメインを発見しており、そのうちの9つは、UMO Poland/Sangrail LTD/DTGruelle/Blue Sky Network/CIJA (Commission for International Justice and Accountability)/Russian Ministry of Internal Affairs などの組織への、リファレンスを含んでいたと述べている。
このようなテーマを持つドメインは、ソーシャルエンジニアリング・キャンペーンにおいて、攻撃者が本物になりすますための、試みである可能性が高いと推測される。
研究者たちは、「TAG-53 の特徴は、戦略的なキャンペーンで類似した技術を長期的に使用している点にある。特別にカスタマイズされたインフラの使用に関して、一貫した傾向が現れている」と述べている。
英国や米国の防衛および情報コンサルティング企業/NGO/シンクタンク/高等教育機関などへの侵入を目的とした、同グループによるフィッシング/認証情報の盗難攻撃を阻止するために、Microsoft が措置を講じたことを公表してから、約4カ月後に一連の悪意のアクティビティは発生している。
エンタープライズ・セキュリティ企業の Proofpoint は、このグループが不正なフィッシング・リンクを配信するために、巧妙ななりすましの手口を用いていることを強く指摘している。
さらに、2022年3月初めにロシアがウクライナへの侵攻を開始した際に、ウクライナ国防省を標的としたスピアフィッシング作戦が発生していたが、そこにも、この脅威アクターが関与していた可能性があると指摘されている。
SEKOIA.IO は、この調査結果を、別の記事で裏付けている。同社は合計で 87件の悪意のドメインを発見しており、そのうちの2つは民間企業 Emcompass/BotGuard を示唆するものであった。また、ウクライナ危機の救済に携わる4つの NGO も標的になっているという。
そのうちの1つでは、NGO と攻撃者との間で、信頼できる送信元を模倣した偽装メールアドレスを使ったメール通信が行われたが、その後に、メールゲートウェイの検知を逃れるために、フィッシング・リンクを含む悪質な PDF が送信されていた。
SEKOIA.IO は、「このメールのやり取りから、攻撃者は最初のメールでは悪意のペイロードを送らずに信頼関係を構築し、疑いを避けるために回答を待った後に、ペイロードを被害者に送っていたことがわかる」と説明している。
SEABORGIUM は、タイポスクワットされたロシア省庁のドメインが使用されていることから、元諜報員/ロシア問題の専門家/海外のロシア市民などをターゲットにしているという、Microsoft による評価の信憑性が高まっている。
また SEKOIA.IO は、「CIJA を標的にしたのは、戦争犯罪関連の証拠や国際司法手続きに関する情報を収集し、将来の告発を予期して対抗するシナリオを構築するためのミッションである」と指摘している。
今回のレポートは、ロシアの脅威アクターが英国/米国/フランス/ブラジル/南アフリカなどの複数企業の IT 環境を侵害し、ウクライナに対する攻撃を開始するためにネットワークを経由して迂回していることを、脅威情報企業の Lupovis が明らかにしたことが発端となっている。
その一方で Microsoft は、ロシア政府による民間インフラに対するサイバー攻撃/欧州の不和を煽る影響力工作などの「多方面にわたるハイブリッド技術アプローチ」を指摘し、「この冬の間に、ロシアがデジタル領域に対して攻撃を仕掛ける可能性がある」と警告している。
このブログでは、TAG-53 という脅威アクターは初めての登場です。そして、この記事では、SEKOIA.IO/Recorded Future/Lupovis/Microsoft などのポストが取り上げられており、関心の高さが窺えます。冒頭にあるように、Global Ordnance という軍事企業が狙われているようですが、11月30日の「米国の国防産業に対する調査:87% がサイバー・セキュリティ要件に不適合」や、12月2日の「SBOM 要件の延期を米議会に提出:防衛産業の団体が4つの理由を詳述」で解説されているように、米国の軍事産業のセキュリティ・レベルは、それほど高くないようです。
IoT OT Security News 
You must be logged in to post a comment.