悪意の RDP コンフィグを展開するロシアの Midnight Blizzard:Microsoft と AWS が警告

Russian hackers deliver malicious RDP configuration files to thousands

2024/10/30 HelpNetSecurity — ロシア対外情報局 (SVR) と関連があるとされる、サイバースパイ集団の Midnight Blizzard は、署名された RDP コンフィグ・ファイルを取り込んだフィッシング・メールで、政府/学術/防衛/NGO 関係者を標的にしている。Microsoft の脅威アナリストたちは、「Midnight Blizzard のスピアフィッシング・キャンペーンに関する以前の調査に基づけば、この作戦の目的は、おそらく情報収集であると推測される」と述べている。

Midnight Blizzard

Midnight Blizzard (別名 Cozy Bear/APT29/UNC2452) は、これまでの 10年ほどの間に、以下のような注目を集めた攻撃に関与していることが判明している。

  • 2014年:米国国務省とホワイト・ハウスのネットワークを侵害
  • 2016年:米国民主党全国委員会の侵害
  • 2020年:SolarWinds Orion のサプライチェーン侵害
  • 2024年:Microsoft と HPE のメールボックへの侵害

Microsoft は、「Midnight Blizzard が標的にする対象には、一貫性と執着心が感じられ、その目的が変わることはめったにない。そのイニシャル・アクセスでは、スピアフィッシング/窃取済み資格情報/サプライチェーン攻撃/オンプレミスからクラウドへの横方向展開/サービス・プロバイダーから下流の顧客へのサプライチェーン侵害などが用いられる。その際には、FoggyWeb や MagicWeb といった、Active Directory Federation Service (AD FS) マルウェアを使用していることが確認されている」と指摘している。

スピアフィッシング・キャンペーン

このグループのスピアフィッシング戦術は、常に変化している。たとえば、2023年には Microsoft Teams 経由で、政府職員に対するフィッシング攻撃を試行していたことが確認されている。

このキャンペーンは、現在も継続中であり、Midnight Blizzard はターゲットを騙して、RDP コンフィグに・ファイル (.rdp) をダウンロードさせ、開かせようとしている。

一連の悪意のメールは、以前の攻撃で侵害されている、正当なメール・アドレスから送信されている。ターゲットにされる受信者は数千人に達し、UK/EU/豪/日 などの、数十カ国に及ぶ政府/教育/防衛/NGO の職員が狙われている。

先日に、ウクライナの CERT-UA が警告したように、それらの悪意のファイルを実行すると、攻撃者のサーバとの間で発信 RDP 接続が確立される。続いて、それらの悪意のサーバは、ターゲット・コンピューター上の、ディスク/ネットワーク/プリンター/COM ポート/オーディオ デバイス/クリップボードなどのリソース (認証情報を含む) への不正アクセスを確立し、悪意のプログラムやスクリプトを実行するための、技術的な前提条件が整う。

Midnight Blizzard RDP file
The prompts shown when running the malicios file (Source: Microsoft)

Microsoft は、「それらの悪意のメールが用いるソーシャル・エンジニアリング・ルアーは、Microsoft/AWS などを装うものであり、ゼロトラストをテーマにしているため、高度にターゲットを絞り込んだものだと評価できる」と述べている。

Amazon は、「悪用されたドメイン名の一部は、そのドメインが AWS ドメインであると信じ込ませようとするものである。したがって、当社では、それらの悪意のドメインを差し押さえるプロセスを開始した」と述べている。

CERT-UA は、「推奨される対策は、メールゲートウェイによる RDP ファイルのブロック/ユーザーによる RDP ファイルの実行をブロック/ファイアウォールの構成に加えて、mstsc.exe プログラムを介して、インターネット上のリソースへの RDP 接続の確立を制限することだ」と述べている。

Microsoft は、このキャンペーンに関連する IoC (indicators of compromise) および、緩和策とハンティング・クエリを提供している。

Midnight Blizzard の別名は APT29 であり、2024/10/25 の「AWS がロシアの APT29 ドメインを凍結:政府/軍事などにフィッシング攻撃」にあるように、そのドメインを統計つさています。しかし、その後に、今回の記事が出ているということは、依然として悪意のドメインが猛威を振るっていることを裏付けています。クラウドが、さまざまなサイバー犯罪の隠れ蓑になっていますね。よろしければ、カテゴリ Cloud を、ご参照ください。