はじめに
サイバーセキュリティ企業Volexityの新たな調査によると、ロシアと関連のあるハッカー集団が、欧州の主要な安全保障会議を装い、政府機関、シンクタンク、政策組織のクラウドメールおよびコラボレーションアカウントを侵害するフィッシングキャンペーンを展開しています。
これらのキャンペーンは2025年後半にかけて活発化しており、正規のMicrosoftおよびGoogleの認証ワークフローを悪用し、綿密なソーシャルエンジニアリングによって被害者からアカウントへのアクセス権を奪っています。
巧妙な手口と標的
Volexityは、この活動を脅威アクターUTA0355に帰属させています。UTA0355は、以前にもMicrosoft 365のOAuthおよびデバイスコード認証フローを悪用した攻撃に関与しているとされています。2025年初めにこれらの手口が公にされたにもかかわらず、今回の最新のオペレーションは、グループがその核となる技術的アプローチを変えることなく、誘惑の手法と配信戦術を継続的に洗練させていることを示しています。
模倣された主要イベント
UTA0355は、二つの大規模なキャンペーンにおいて、欧州で開催された実際の国際安全保障イベントを模倣した説得力のあるフィッシングインフラを構築しました。
- ベオグラード安全保障会議(2025年11月17日~19日)を模倣した作戦では、偽の会議サイト
bsc2025[.]orgを立ち上げました。被害者は、既に進行中の会議に関するメールスレッド内で、信頼関係を構築するフィッシングキャンペーンを通じて関与させられました。認証後、攻撃者はWhatsAppを通じて被害者に「登録を完了するため」としてブラウザの完全なURLを送り返すよう指示しました。このURLには、攻撃を完了するために必要なOAuth認証コードが含まれていました。 - ブリュッセル・インド太平洋対話(2025年12月初旬)を模倣した別のキャンペーンでは、ブリュッセル自由大学のセキュリティ・外交・戦略センターのスタッフを装ったメールが、外交政策や欧州情勢に関わる個人、および米政府の元高官らを標的に送られました。数回の信頼構築メールの後、攻撃者はユニークなURLを送り、エラーが発生した場合は正確なURLを送り返すよう指示し、これもOAuthコードフィッシングのパターンでした。
brussels-indo-pacific-forum[.]orgのようなルックアライクサイトは、標的をMicrosoft 365のデバイスコードフィッシングワークフローに誘導しました。
キャンペーンの詳細とさらなる標的
攻撃者はアクセス権を取得した後、被害者の正規デバイスと同じ名前でMicrosoft Entra IDに新しいデバイスを登録し、Androidデバイスを装ったiPhoneからファイルにアクセスしました。また、攻撃者は、標的のメールドメインに応じて、一般的な登録確認を表示するか、または資格情報を収集するためのMicrosoft 365ログインシーケンスに誘導しました。
Volexityの分析は、UTA0355が他の重要なイベントのためのインフラも試していることを示唆しています。WHOISの記録から、パリで開催される国際原子力展示会(2025年11月4日~6日)を模倣したドメインworld-nuclear-exhibition-paris[.]comやwne-2025[.]comも発見されました。これらの運用上の使用は確認されていませんが、関連する、あるいは以前のキャンペーンのために準備された可能性が高いと研究者は評価しています。
これらの作戦を通じて、UTA0355は、会議に参加しない招待者に対して関心のある同僚の連絡先情報を共有するよう求めることで、標的プールを体系的に拡大しています。侵害されたアカウントへのアクセスはプロキシネットワークを経由してルーティングされ、帰属の特定と位置の特定をさらに困難にしています。
Volexityの分析と勧告
Volexityは、UTA0355が現実的なイベントをテーマにした誘惑、メールやメッセージングアプリを通じた多チャネルコミュニケーション、そして信頼されたクラウド認証フローの悪用に対して継続的に投資していることは、このアクターが持つリソースと、これらの技術が高価値の標的に対して依然として効果的であることを強調していると結論付けています。