Russia

Amazonは、悪意のあるリモート・デスクトップ・プロトコル接続ファイルを使用してWindowsの認証情報とデータを盗むために、政府や軍事組織に対する標的型攻撃でロシアのハッキンググループAPT29によって使用されたドメインを押収した。

APT29は、”Cozy Bear “や “Midnight Blizzard “としても知られ、ロシアの対外情報庁(SVR)に関連するロシアの国家支援によるサイバースパイグループである。

アマゾンは、APT29が使用したフィッシングページはAWSのドメインに見せかけたものであったが、アマゾンやそのクラウドプラットフォームの認証情報はこれらの攻撃の直接の標的ではなかったと明らかにしている。

「彼らが使用したドメイン名の中には、AWSのドメインであるかのように標的を騙そうとするものもありましたが(実際はそうではありませんでした)、Amazonは標的ではありませんでしたし、AWSの顧客認証情報を狙うグループでもありませんでした

「むしろ、APT29はMicrosoft Remote Desktopを通じてターゲットのWindows認証情報を探していた。

“この活動を知り、我々は直ちにAPT29がAWSになりすまして悪用していたドメインを押収するプロセスを開始し、活動を中断させた。”

APT29は、政府機関、シンクタンク、研究機関などを標的とした非常に巧妙な攻撃で知られており、多くの場合、フィッシングやマルウェアを使用して機密情報を盗み出します。

世界中の組織を標的に

APT29の最近のキャンペーンは、最初に発見されたウクライナで大きな影響を与えたものの、ロシアの敵対勢力とみなされる複数の国を標的にした広範なものだった。

Amazonによると、今回のキャンペーンでは、APT29は通常よりもはるかに多くのターゲットにフィッシングメールを送信しており、典型的な「狭いターゲット」戦略とは逆のアプローチをとっている。

ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、これらの「不正なRDP」の添付ファイルに関するアドバイザリを公開し、「UAC-0215」として追跡している大量の電子メール活動について警告している。

メッセージは、AmazonとMicrosoftのサービスとの「統合」問題に対処し、「ゼロトラスト」サイバーセキュリティ・アーキテクチャ(Zero Trust Architecture、ZTA)を実装するというトピックを使用していた。

メールには、「Zero Trust Security Environment Compliance Check.rdp」のような名前のRDP(リモート・デスクトップ・プロトコル)接続ファイルが含まれており、開くと悪意のあるサーバーへの接続が自動的に開始されるようになっていた。

Malicious RDP configuration screen
悪意のあるRDP設定画面
ソースは こちら:

上記のRDP接続プロファイルの1つの画像からわかるように、攻撃者が制御するRDPサーバと、以下のようなすべてのローカルリソースを共有していました:

  • ローカル ディスクとファイル
  • ローカル ディスクとファイル
  • プリンタ
  • COM ポート
  • オーディオ・デバイス
  • クリップボード

さらに、UA-CERT によれば、これらのリソースは、侵害されたデバイス上で不正なプログラムやスクリプトを実行するために使用される可能性もあるとのことです。

Shared drives and devices are redirected to the attacker's RDP server
共有ドライブやデバイスが攻撃者の RDP サーバーにリダイレクトされる
Source:CERT-UA

Amazonによると、このキャンペーンはWindowsの認証情報を盗むために利用されましたが、ターゲットのローカルリソースは攻撃者のRDPサーバーと共有されていたため、脅威行為者は共有デバイスから直接データを盗むこともできました。

これには、ターゲットのハードドライブ、Windows クリップボード、およびマップされたネットワーク共有に保存されたすべてのデータが含まれます。

CERT-UA は、攻撃または侵害の可能性のある兆候を検出するために、彼らの公報の IoC セクションで共有された IP アドレスのネットワーク相互作用ログを精査することを推奨します。

さらに、攻撃対象領域を減らすために、以下の対策が推奨される:

  1. メールゲートウェイで「.rdp」ファイルをブロックする。
  2. 不要なときにユーザーが「.rdp」ファイルを起動しないようにする。
  3. ファイアウォール設定を構成して、mstsc.exeプログラムから外部ネットワークリソースへのRDP接続を制限する。
  4. グループポリシーを設定して、RDP経由のリソースリダイレクトを無効にする(「Remote Desktop Services」->「Remote Desktop Session Host」->「Device and Resource Redirection」->「Do not allow…」)。

APT29は依然としてロシアで最も有能なサイバー脅威の1つであり、最近ではスパイウェアベンダのみが利用できるエクスプロイトを使用することで知られるようになっている。

昨年には、脅威行為者がTeamViewerマイクロソフトヒューレット・パッカード・エンタープライズといった重要なソフトウェアベンダーをハッキングしていたことが明らかになった。

欧米の諜報機関は今月初め、APT29がZimbraとJetBrainsのTeamCityサーバーの欠陥を「大量に」利用して、世界中の重要な組織に侵入していると警告した。