btzgrp
  • Google の AI 概要とは何ですか?
Headlines

米国とマイクロソフト、ロシアの脅威アクター「スターブリザード」の阻止を目指す

05 mins
米国とマイクロソフト、ロシアの脅威アクター「スターブリザード」の阻止を目指す

マイクロソフトのデジタル犯罪対策ユニットと米国司法省からの新たな報告書は、電子メールボックスへの侵入による機密コンテンツの盗み出しや標的の活動への干渉を専門とするロシアを拠点とするサイバー脅威アクター「スターブリザード」が使用する100台以上のサーバーに対する妨害活動を明らかにしている。

スターブリザードとは誰ですか?

スターブリザードは、シーボーギウム、カリストグループ、TA446、コルドライバー、TAG-53、ブルーチャーリーなどとも呼ばれています。世界中の様々な政府機関によると、スターブリザードはロシア連邦保安庁(FSB)センター18の傘下にあります。

サイバーセキュリティ企業F-Secureのレポートによると、この脅威グループは少なくとも2015年後半から活動を開始している。レポートによると、このグループはヨーロッパと南コーカサスの軍人、政府関係者、シンクタンク、ジャーナリストを標的としており、これらの地域の外交政策および安全保障政策に関する情報収集を主な目的としている。

報道によれば:

  • スターブリザードは2019年以来、米国の防衛機関や政府機関のほか、学術界やさまざまなNGOや政治家など他の分野も標的にしてきました。
  • 2022年にこのグループは拡大し、防衛産業や米国エネルギー省の施設を標的にし始めました。
  • 2023 年 1 月以降、Microsoft は脅威アクターによる 82 の異なるターゲットを特定しており、攻撃は週に約 1 件のペースで発生しています。

参照: 効果的なサイバーセキュリティ意識向上プログラムの作成方法 (TechRepublic Premium)

操作方法

Star Blizzardは、スピアフィッシング攻撃を仕掛けるためのインフラを構築することで知られており、多くの場合、特定の標的の個人用メールアカウントを標的とします。これらのアカウントは、通常、業務用メールアカウントよりもセキュリティ保護が弱いです。

マイクロソフトの法務顧問補佐スティーブン・マサダ氏はプレスリリースで次のように述べています。「スターブリザードは執念深い。彼らは標的を綿密に調査し、信頼できる人物を装って目的を達成しようとする。」

スピアフィッシングメールのサンプル。
スピアフィッシングメールのサンプル。画像: Microsoft

一度インフラが悪用されると、脅威アクターは迅速に新しいインフラに切り替えることができるため、防御側が使用されているドメインやIPアドレスを検出・ブロックすることが困難になります。特に、このグループは複数のレジストラを利用してドメイン名を登録し、複数のリンク短縮サービスを利用してユーザーを悪名高いEvilginxフィッシングキットで運営されているフィッシングページへリダイレクトします。また、正規ウェブサイトからのオープンリダイレクタも利用しています。

複数のリダイレクタとリンク短縮サービスを使用したリダイレクト チェーン。
複数のリダイレクタとリンク短縮サービスを使用したリダイレクトチェーン。画像: Microsoft

脅威アクターは、OneDriveのファイル共有通知など、正規のメールテンプレートを改変したバージョンも使用しています。今回のケースでは、信頼できる送信者になりすますために新たに作成されたメールアドレスが使用され、受信者がフィッシングメールを開く可能性が高まりました。メールには、クラウドストレージサービス上にホストされている改変されたPDFまたはDOCXファイルへのリンクが含まれており、最終的にはEvilginxフィッシングキットへと誘導されます。これにより、攻撃者は多要素認証を回避できる中間者攻撃を実行できました。

大規模な混乱

司法省は、ロシアの脅威アクターが使用していた 41 のインターネット ドメインと追加のプロキシを押収したと発表しました。また、マイクロソフトによる協調民事訴訟により、脅威アクターが使用していた 66 の追加ドメインが差し押さえられました。

これらのドメインは、脅威の攻撃者がサイバースパイ活動を目的として、標的のシステムや電子メールボックスを侵害するスピアフィッシング攻撃を実行するために使用されました。

スターブリザードは、不正行為のためのインフラを迅速に再構築すると予想されています。しかし、マイクロソフトは、この妨害作戦は、米国の民主的プロセスへの外国からの干渉が最も激しい重要な局面において、脅威アクターの活動に悪影響を及ぼすと報告しています。また、この妨害作戦により、マイクロソフトは既存の裁判手続きを通じて、新たなインフラをより迅速に妨害することが可能になります。

この脅威から保護したいですか? スタッフに教育とトレーニングを実施してください。

スターブリザードを回避するために、組織は次のことを実行すべきであると報告されています。

  • フィッシング耐性のある認証を採用します。
  • 条件付きアクセス ポリシーを使用してアカウント アクセスをロックダウンします。
  • 高度なフィッシング対策ソリューションを活用して、悪意のあるアクティビティを検出します。

脅威アクターのフィッシングメールは、ユーザーや組織がメールの受信を期待している既知の連絡先から送信されているように見えます。送信元アドレスは、どの無料メールプロバイダのものでも構いませんが、Protonアカウントの送信者から受信したメールには特に注意が必要です。脅威アクターは過去にこのメールプロバイダを頻繁に利用していたためです。

疑わしい場合は、ユーザーはリンクをクリックすべきではありません。代わりに、疑わしいメールをIT担当者またはセキュリティ担当者に報告し、分析を依頼してください。そのためには、スピアフィッシング攻撃を見抜くための教育とトレーニングをユーザーに提供する必要があります。

開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。

Tagged:

Related News