概要
FancyBear(APT28)の最新のオペレーションセキュリティの失敗により、ロシアのスパイ活動サーバーが公開され、その中には盗まれた資格情報や2FAシークレットなどが含まれています。この漏洩は、欧州の政府や軍事ネットワークを標的とするFancyBearの詳細な情報を明らかにしました。
暴露されたインフラストラクチャ
Cert-UAとHunt.ioが以前に報告したAPT28/FancyBearに関連するサーバーで、Ctrl-Alt-IntelはC2(コマンド&コントロール)サーバーのオープンディレクトリを特定しました。この公開されたディレクトリには、C2ソースコード、ペイロード、ログ、およびエクスフィラートデータが含まれていました。
被害者の詳細
- 2,800以上のメールアドレス
- 240以上の資格情報セット(TOTP 2FAシークレットを含む)
- 140の持続的なフォワーディングルール
- 11,500を超える収集された連絡先アドレス
被害者のメールボックスは、ウクライナ、ロマニア、ブルガリア、ギリシャ、セルビア、北マケドニアの政府や軍事機関に属していました。これらの国々の多くはNATO加盟国またはNATOと密接な関係にあるため、標的選択が地域的な軍事的重要性に基づいていることが示されています。
セキュリティ上の問題
FancyBearは、サーバーを500日以上にわたって使用し続けました。これはAPTインフラストラクチャが燃やされた後すぐに回転するという一般的な仮定を覆しています。
ツールキットと攻撃手法
このツールキットは、RoundcubeおよびSquirrelMailのXSS脆弱性を利用してJavaScriptペイロードを注入します。これにより、ログインユーザーの特定、資格情報の盗難、メールボックスのエクスフィラートなどが可能になります。
防御者への教訓
この事件は、ウェブメールプラットフォーム(RoundcubeやSquirrelMail)を保護し、ManageSieveと危険なプラグインを無効化または強化することの重要性を示しています。また、zhblz[.]comや203.161.50[.]145などの指標を監視する必要もあります。
結論
この事件は、高度なステートアクターであっても基本的なOPSECミスを犯す可能性があることを示しています。これにより、防御者は内部からスパイ活動の操作を見たり、中断したりする稀有な機会が得られます。