Microsoftは、ロシアの「非常に執拗な」脅威アクターが、認証情報の窃取活動で北大西洋条約機構(NATO)加盟国を標的にしてきたと警告している。「OneDrive」を悪用してアカウントに不正アクセスし、データを盗んでから、世論を動かすために情報を流出させるという。
提供:Shutterstock -- Rawpixel.com
Microsoftが「SEABORGIUM」と呼ぶこのグループは、標的とするNATO加盟国から情報を盗もうとしてきた。特に米英2カ国を標的とすることが多いが、時にはバルト海沿岸諸国や北欧諸国、東欧諸国を標的にすることもあり、ロシアによる現地時間2月24日の侵攻前にはウクライナの政府機関も狙われた。偽情報/誤情報の拡散と思われる活動の一環として、データをリークする場合もあった。
高い技術力を有して国家の支援を受けたアクターを追跡するMicrosoft Threat Intelligence Center(MSTIC)は、SEABORGIUMの活動を検出するため、同グループによるOneDriveの悪用に注目してきた。
SEABORGIUMは、OneDrive上のファイルに見せかけた添付ファイルを使って被害者をおびき寄せるほか、不正なURLへのリンクを含んだPDFファイルを保存するのにもOneDriveを利用している。
MSTICはブログで次のように述べている。「送信に失敗したプレビューメッセージに見えるものを表示し、標的を誘い込んでリンクをクリックさせ、認証情報を盗むための仕掛けに誘導する。活動に使っている仕掛けをさらに分かりにくくするため、PDFファイル内のオープンリダイレクトを利用する場合もある」
リンクをクリックすると、認証情報を盗むための仕掛けにリダイレクトされる。時にはGoogleのURLを経由してリダイレクトさせる場合もある。攻撃者は、正規のプロバイダーを装ったログインページを利用して、ユーザー名やパスワードの欄に入力された認証情報を窃取できる。
GoogleのThreat Analysis Group(TAG)とProofpointのThreat Research Teamはそれぞれ、ハッカーグループ「COLDRIVER」と「TA446」がSEABORGIUMとほぼ同じ集団であることを確認している。
「SEABORGIUMによる侵入は、ハッキング&流出攻撃にも関係しており、盗まれて流出したデータは、標的となった国で世論の流れを誘導するのに利用されている」(MSTIC)
「SEABORGIUMはロシアを拠点とする脅威アクターで、目的と標的の選択がロシアの国益と合致する」(同)
MicrosoftとLinkedInは、標的にされた組織に勤める従業員の調査に、偽のLinkedInプロフィールが利用されていることも確認している。こうしたソーシャルメディアプラットフォームは、個人のディレクトリーや一般に公開されている情報と組み合わせて利用されていた。LinkedInは、不正な動作をしていたアカウントを削除したという。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。