ロシアの国家ハッカーAPT28(Fancy Bear/Forest Blizzard/Sofacy)は、”ニアレスト・ネイバー・アタック “と呼ばれる斬新なテクニックを駆使し、数千マイル離れた場所にいながら、企業のWiFiネットワークを通じて米国企業に侵入した。
この脅威者は、まずWiFiの範囲内にある近くのビルの組織を侵害した後、標的を絞った。
この攻撃は2022年2月4日、サイバーセキュリティ企業Volexityが、ウクライナ関連の業務を行っていたワシントンDCの顧客サイトでサーバーの侵害を検知したことで発覚した。
APT28はロシアの参謀本部情報総局(GRU)の軍事ユニット26165の一部であり、少なくとも2004年以来サイバー作戦を実施している。
VolexityがGruesomeLarchとして追跡しているハッカーは、被害者の公衆向けサービスを標的としたパスワード・スプレー攻撃によって、まずターゲットの企業WiFiネットワークの認証情報を入手した。
しかし、多要素認証(MFA)プロテクションが存在するため、パブリックウェブ上で認証情報を使用することはできませんでした。企業のWiFi経由で接続する場合はMFAを必要としないが、「数千マイルも離れた海を隔てて」被害者がいることは問題だった。
そこでハッカーたちは独創的になり、標的のワイヤレス・ネットワークへの軸となりうる近隣のビルの組織を探し始めた。
別の組織に侵入し、そのネットワークで有線接続と無線接続の両方を持つデュアルホーム・デバイスを探すというものだ。そのようなデバイス(ラップトップやルーターなど)を使えば、ハッカーはそのワイヤレス・アダプターを使い、ターゲットの企業WiFiに接続することができる。
Volexityは、APT28がこの攻撃の一環として複数の組織に侵入し、有効なアクセス認証情報を使用して接続をデイジーチェーン接続していることを発見した。最終的に彼らは、被害者の会議室の窓の近くにある3つの無線アクセスポイントに接続できる適切な範囲内のデバイスを発見しました。
非特権アカウントからリモート・デスクトップ接続(RDP)を使用して、脅威者はターゲット・ネットワーク上を横方向に移動し、関心のあるシステムを探してデータを流出させることができました。
ハッカーはservtask.batを実行し、Windowsレジストリハイブ(SAM、Security、System)をダンプし、ZIPアーカイブに圧縮して流出させました。
攻撃者は一般的に、データを収集する間、フットプリントを最小限に抑えるためにWindowsネイティブツールに依存していました。
“Volexityはさらに、GruesomeLarchがウクライナに関する専門知識を持ち、ウクライナに積極的に関与しているプロジェクトの個人からデータを収集するために、組織Aを積極的に標的にしていたと判断した。
調査には複数の複雑な要素があり、Volexityはこの攻撃を既知の脅威行為者に帰属させることはできなかった。しかし、今年4月のマイクロソフトの報告書は、Volexityの観察と重なり、ロシアの脅威グループを指摘する侵害の指標(IoC)を含んでいたため、それを明らかにした。
マイクロソフトのレポートの詳細によると、APT28は被害者のネットワーク内のWindows Print Spoolerサービスの脆弱性CVE-2022-38028をゼロデイとして悪用することで、重要なペイロードを実行する前に特権を昇格させることができた可能性が非常に高い。
APT28の「ニア・ネイバー・アタック」は、通常ターゲット(駐車場など)に近接する必要がある接近作戦が、遠くからでも実施可能であり、物理的に特定されたり捕捉されたりするリスクがないことを示しています。
インターネットに接続されたデバイスは、MFAやその他の保護機能を追加することで、過去数年間に改善されたセキュリティの恩恵を受けているが、WiFi企業ネットワークは、他のリモート・アクセス・サービスと同じように注意深く扱われる必要がある。
Comments