AWS Seizes Domains Used by Russia’s APT29
2024/10/25 SecurityWeek — 10月24日に Amazon Web Services (AWS) が発表したのは、ロシアの脅威グループである APT29 が、フィッシング攻撃に用いたドメインの凍結に関する情報である。同社によると、APT29 が使用していたドメインの一部は、AWS のドメインであるかのような名称であったという。しかし、その攻撃の標的は、Amazon や顧客ではなく政府機関/軍事組織/企業であり、Microsoft Remote Desktop を介した Windows 認証情報の収集が目的だった。
AWS の CISO である CJ Moses は、「この活動を発見した直後に、AWS を装う APT29 が悪用していたドメインを凍結するプロセスを開始し、その活動を阻止した」と述べている。
ウクライナの CERT-UA が AWS に通知した、一連の攻撃に関するレポートによると、その活動は 2024年8月に開始されたようだ。同レポートによると、大量に送信された APT29 からのメールは、Amazon と Microsoft のサービス統合や、ゼロトラスト・アーキテクチャの導入を装うものであったいう。
送信されたメッセージには、感染したデバイスへのリモート・アクセス権限を、攻撃者に付与する RDP コンフィグ・ファイルが添付されていた。そのファイルが実行されると、ローカル・ディスク/プリンター/ネットワーク・リソース/クリップボードへのアクセスが可能となり、攻撃者は、システム上で悪意のアプリケーションやスクリプトを実行できるようになる。
CERT-UA によると、この攻撃はウクライナなどの国々を標的としていたという。
ロシアで最も有名なサイバースパイ集団のひとつである APT29 (別名:Cozy Bear/the Dukes/Nobelium/Yttrium) は、ロシア連邦保安庁 (SVR) と関連があることが判明しており、数多くの注目度の高い攻撃に関与している。
先日には、商用スパイウェア・メーカーである NSO Group と Intellexa が使用しているものと同一、もしくは、きわめて類似したエクスプロイトを、APT29 が使用していることが確認されたと、Google のセキュリティ研究者たちが報告している。
また、2024年の初めには、APT29 がドイツの政党を標的にしていたことが、Google Cloud の Mandiant から報告されている。
APT29 が使用していた悪意のドメインが、AWS により統計されたとのことです。それが、APT29 の全ドメインかどうかは分かりませんが、その活動において、影響が生じるはずです。このブログには、APT という単語がよく出てきますが、Advanced Persistent Threat の省略形であり、国家に支援されたサイバー・スパイ・グルーバルのことを指します。そして、その後に付けられた番号により、個々のグループを識別しているわけです。よろしければ、APT29 で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.