Microsoft Threat Intelligence Center (MSTIC) の新しい調査により、Seaborgium として知られるサイバースパイの脅威アクターが明らかになりました。
シーボーギウムって誰?
Seaborgiumはロシアを拠点とする脅威アクターであり、Microsoftは2017年から追跡調査を行っています。非常に執拗に活動する脅威アクターであり、関心のある企業や個人を侵害しています。2022年には、個人のアカウントに加え、30以上の組織を標的にしています。技術情報と戦術に基づくと、この脅威アクターはCallisto Group、TA446、ColdRiverと重複すると考えられます。ウクライナ保安局は、この脅威アクターをGamaredonグループと関連付けていますが、Microsoftの研究者は、この関連性を裏付ける関連性を確認していません。
シーボーギウムのターゲット
この脅威アクターの主な標的は現在、NATO加盟国、特に英国と米国です。バルト諸国、北欧諸国、東欧諸国など、他の国々も時折標的にされています。特に興味深いのは、ロシアによる侵攻の数ヶ月前にウクライナが標的にされていたこと、そしてウクライナ戦争に関与している組織が標的にされていたことです。Microsoftは、ウクライナはシーボーギウムの主な標的ではない可能性が高く、この国を狙った攻撃は、アクターにとって事後対応的な焦点である可能性が高いと述べています。
マイクロソフトによると、シーボーギウムの標的は、防衛・情報コンサルティング企業、非政府組織(NGO)、政府間組織(IGO)、シンクタンク、高等教育機関です。さらに、シーボーギウムの活動の30%は、マイクロソフトの消費者向けメールアカウント、元情報機関職員、ロシア問題の専門家、そして海外在住のロシア国民を標的としています。
参照: モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
手口
MSTIC の研究者は、シーボーギウムが使用するソーシャル エンジニアリングのアプローチにわずかな変更を加えただけの一貫した方法論を観察しました。
まず、脅威アクターは標的の特定に取り組みます。これは攻撃の偵察段階です。目標は、標的の遠隔地にあるソーシャルネットワークや影響力圏内の正当な連絡先を特定することです。攻撃者は、この目的を達成するために、オープンソースインテリジェンス(OSINT)、個人ディレクトリ、ソーシャルメディアプラットフォームを活用しているようです。MSTICはLinkedInとの提携により、脅威アクターが特定の関心組織の従業員を偵察するために偽のLinkedInプロフィールを作成していることを明らかにしました(図A)。
図A
脅威の攻撃者によって作成されたと特定されたアカウントは、LinkedIn によって終了されました。
Seaborgiumは、様々なメールプロバイダーで新しいメールアドレスを作成し、正規のエイリアスやなりすましの人物名と一致するように設定します。ある事例では、脅威アクターが1年間使用されていないアカウントを再利用し、一致する業界を標的にしていたことが研究者によって確認されています。これは、脅威アクターが綿密に組織化されており、必要に応じてアカウントを追跡・再利用している可能性を示唆しています。
この構成がすべて完了すると、脅威の攻撃者は、ターゲットの関心のあるトピックが含まれているはずの存在しない添付ファイルを参照する無害な電子メール メッセージでターゲットに到達します (図 B)。
図B
他のケースでは、攻撃者は別のアプローチ(より直接的なアプローチ)を採用し、悪意のあるコンテンツを送信します(図 C)。
図C
悪意のあるコンテンツとしては、フィッシングページにつながるURL(URL短縮ツールなどで難読化されている場合もあります)のような単純なものから、フィッシングページにつながるURLを含むPDFファイル(添付されている場合もあります)まで様々です。さらに、OneDriveでホストされているPDFファイル(これもフィッシングページへのリンクを含む)が使用される場合もあります。
ランディングフィッシングページは、攻撃者が管理するサーバー上にホストされており、フィッシングフレームワーク(多くの場合、Evilginx)がホストされています。このフレームワークは、正規プロバイダーのサインインページを模倣した画面でターゲットに認証を促し、攻撃者がターゲットの認証情報を入手できるようにします。認証情報が取得されると、ユーザーはウェブサイトまたはドキュメントにリダイレクトされ、そこでやり取りを完了します。
Seaborgiumはこれらの認証情報を利用して、標的のメールや添付ファイルをメールボックスから直接盗み出します。攻撃者は、自身の管理下にあるメールアドレスへの転送ルールを設定しているケースもいくつかあります。攻撃者が関心を持つメールの中には、元諜報機関職員が利用していたような、非公開かつ機密性の高いグループのメーリングリストデータも含まれています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
サイバースパイ活動以上のもの
マイクロソフトによれば、シーボーギウムの主な目的はサイバースパイ活動だが、同グループは散発的に情報活動にも関与しているという。
2021年5月、MSTICは、脅威アクターが英国の政治組織から盗んだ文書を共有していることを確認しました。これらの文書は公開されているPDFファイル共有ウェブサイトにアップロードされ、脅威アクターはソーシャルメディアアカウントを通じてこれらの文書を拡散しました。しかし、それ以上の拡散は最小限にとどまりました。
1年後、Googleの脅威分析グループ(TAG)は、ColdRiver/SeaBorgiumによる情報操作を特定し、Microsoftもこれを確認しました。この脅威グループは、2018年から2022年にかけて、Brexit推進派の高官のメールアカウントから盗み出されたとされるメールと文書を漏洩しました。
この脅威からどのように身を守るのでしょうか?
この脅威アクターによる典型的な活動は、時間の経過とともにほとんど変化せず、メールに非常に重点が置かれています。そのため、メールフィルタリングを設定し、メールセキュリティソリューションを導入する必要があります。
既知のフィッシング ページにアクセスしないようにするには、ブラウザーでフィルタリング ソリューションを直接有効にする必要があります。
可能であれば、多要素認証(MFA)も導入する必要があります。電話認証は攻撃者にバイパスされる可能性があるため、電話認証には依存せず、FIDOトークンや認証アプリケーションなど、より安全な実装を使用する必要があります。
ユーザーは受信したメールを注意深く確認し、連絡先のいつものメールアドレスから送信されているかどうかを確認する必要があります。新しいメールアドレスから送信された場合は、電話など別の方法で連絡を取り、本当に連絡先から送信されたかどうかを確認する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
