BlueDeltaによる大規模な認証情報窃取作戦
2025年を通じて、ロシア政府系ハッカー集団「BlueDelta」が、Microsoft Outlook Web Access(OWA)、Google、Sophos VPNを標的とした大規模な認証情報窃取作戦を展開していたことが、Recorded FutureのInsikt Groupによる包括的な調査で明らかになりました。
このキャンペーンは2025年2月から9月にかけて実施され、APT28、Fancy Bear、Forest Blizzardとも呼ばれるBlueDeltaは、GRU(ロシア連邦軍参謀本部情報総局)の主要局と連携しているとされています。彼らは重要なインフラ組織や研究機関を狙い、その洗練された手口で認証情報を盗み出しました。
高度なフィッシング手法と具体的な標的
BlueDeltaは、トルコのエネルギー・原子力研究機関、欧州のシンクタンク、北マケドニアやウズベキスタンの組織に所属する個人に対し、高度に標的を絞ったフィッシングキャンペーンを展開しました。
彼らは標的の信頼を得るため、トルコ語のコンテンツや地域に特化した誘引材を使用し、詐欺の信憑性を高めました。
キャンペーンでは、正規のPDF文書が「餌」として悪用されました。これには、「Strategic and Political Implications for Israel and Iran: The Day After War」や「Climate Action as a Strategic Priority for the New Pact for the Mediterranean」といったガルフ研究センターやEcoClimate財団の出版物が含まれていました。これらの文書は、被害者に一時的に表示された後、偽のログインインターフェースが表示されるという手口が用いられ、自動化されたセキュリティ対策の回避を狙いました。
巧妙な多段階インフラの悪用
BlueDeltaの技術インフラは、主に無料のホスティングおよびトンネリングサービスに大きく依存していました。これは、彼らが低コストで使い捨て可能なインフラを好む傾向を示しており、帰属の特定を困難にしています。
Webhook[.]site、InfinityFree、Byet Internet Services、ngrok、ShortURLといったサービスが悪用され、フィッシングコンテンツのホスト、認証情報の窃取、複雑なリダイレクトチェーンの管理に利用されました。
脅威アクターは、短縮URLから始まり、中間ウェブフックを介して被害者をリダイレクトし、最終的に認証情報窃取ページを表示する洗練された多段階リダイレクトシーケンスを実装していました。
このアプローチにより、BlueDeltaは正規のPDF文書を短時間表示させ、被害者のメールアドレスやメタデータを含むページ開封ビーコンを捕捉し、最終的にMicrosoft Outlook Web Access、Google、およびSophos VPNの本物そっくりのログインインターフェースを表示することに成功しました。
作戦の進化と技術的洗練
BlueDeltaの認証情報窃取ページの分析により、彼らの作戦における継続的な改善が明らかになりました。
彼らは、ページURLを動的にキャプチャする自動化されたJavaScript機能を導入し、流出エンドポイントの手動設定の必要性を排除しました。
注目すべきは、後期のキャンペーンで変数命名規則が「OldPwd」から「password」に更新されたことです。これは、運用上の要件に基づいたコードの洗練を示しています。
さらに、脅威アクターはURLクエリ文字列に埋め込まれたユニークな32バイトの16進数被害者識別子を実装しており、認証情報窃取プロセス全体を通じて個々の標的を正確に追跡していました。
カスタムスクリプトは、ページ開封ビーコンを通じて被害者の活動を追跡し、JSON形式のHTTP POSTリクエストで認証情報を送信し、さらに疑念を抱かせないよう、認証情報提出後に被害者を正規のサービスにリダイレクトしていました。
ロシアの戦略的動機と効果的な対策
これらの標的パターンは、エネルギー研究、防衛協力、地域政府通信におけるロシアのインテリジェンス優先順位を反映しているとされています。BlueDeltaによる正規インターネットサービスの執拗な悪用は、認証情報窃取がロシアの戦略的目標を支援するための費用対効果の高い情報収集方法であるというGRUの評価を裏付けています。
組織は、以下の対策を講じることでリスクを軽減できます。
- フィッシング耐性のある多要素認証(MFA)を導入すること。
- ビジネス運用に不要な無料ホスティングおよびトンネリングサービスをブロックリストに追加すること。
- プロキシサービスや非標準ポートからの認証試行を監視すること。
- アカウント確認やパスワードリセットのテーマを参照する埋め込みリンクを含むPDF添付ファイルの検出を優先すること。
Recorded Futureは、BlueDeltaが2026年も認証情報窃取活動を継続し、ロシアにとって戦略的に関連性の高いセクターの地域標的を巻き込むために、誘引テーマを適応させ、ローカライズされたコンテンツを導入すると高い確信を持って評価しています。