キャンペーンの概要
ロシア政府系ハッカー集団BlueDelta(APT28、Fancy Bear、Forest Blizzardとしても知られる)が、2024年6月から2025年4月にかけて、ウクライナの人気Webメールおよびニュースサービス「UKR.NET」のユーザーを対象に、持続的な認証情報窃取キャンペーンを実施していたことが判明しました。
Recorded FutureのInsikt Groupによる調査によると、この作戦は、ロシアによるウクライナでの軍事作戦の最中における、情報収集を目的としたGRU(ロシア軍参謀本部情報総局)関連脅威アクターの認証情報侵害への取り組みが大幅にエスカレートしたことを示しています。
このキャンペーンは、2024年初頭に西側法執行機関によってインフラが遮断された後も、BlueDeltaの確立されたフィッシングおよび認証情報窃取の手法を進化させたものです。脅威グループは、侵害されたルーターから、ngrokやServeoといった高度なプロキシトンネリングプラットフォームへの移行を通じて、国際的な妨害努力にもかかわらず作戦を継続するGRUのコミットメントを示しています。
技術的な手口
Insikt Groupは、調査期間中に複数の無料Webサービスで展開された42以上の認証情報窃取チェーンを特定しました。BlueDeltaは、Mocky APIサービスを悪用して偽のUKR.NETログインポータルをホストし、DNS EXIT、Byet Internet Services、ngrokのリバースプロキシトンネリングインフラなどの無料ホスティングプロバイダーと組み合わせて、ユーザー名、パスワード、および二要素認証コードを収集していました。この認証情報窃取ページは、UKR.NETのログインページに酷似していたとのことです。
脅威グループのアプローチは、顕著な技術的洗練を示しています。悪意のあるインフラを直接公開するのではなく、無料ドメイン、リンク短縮サービス、およびプロキシトンネルを利用して、コマンド&コントロールサーバーの実際の場所を隠蔽する多層アーキテクチャを採用していました。キャンペーンでは、カスタムJavaScriptを使用して、認証情報のエクスフィルトレーション、CAPTCHA応答のリレー、およびHTTPBinサービスを通じた被害者IPアドレスのキャプチャを行っていました。
特に注目すべき発見は、UKR.NETからのアカウントセキュリティ通知を装ったPDFファイルでした。これらの文書は、ターゲットに不審なアカウントアクティビティを通知し、パスワードリセットのための埋め込みリンクをクリックさせるように誘導していました。悪意のあるPDFを配布することで、BlueDeltaは一般的なメールフィルタリングやサンドボックス検出メカニズムを効果的に回避しており、企業のセキュリティインフラに対するグループの理解がうかがえます。
2025年3月から4月にかけて、BlueDeltaのインフラ層に大幅な更新があり、新しいティア3およびこれまで見られなかったティア4コンポーネントが追加されました。グループはDNS EXITドメインからngrokの無料サブドメインに移行し、同時にフランスとカナダで専用サーバーを運用して認証情報のエクスフィルトレーションとリレー操作を行っていました。ukrinet[.]comやukrainnet[.]comといったtyposquattingドメインの使用も確認され、バックアップインフラとキャンペーン継続の戦略を示唆しています。さらに、ngrok-skip-browser-warning HTTPヘッダーをJavaScriptコードに追加することで、ngrokの組み込みの安全警告を無効化し、ユーザーがプロキシサービスの存在に気づくことを防いでいました。
戦略的影響と対策
BlueDeltaによるウクライナユーザーの認証情報への継続的な焦点は、GRUの情報要件と一致しています。ウクライナのユーザーにサービスを提供する組織は、以下の対策を講じるべきです。
- フィッシング対策として多要素認証を導入する。
- 運用に不可欠でない無料ホスティングサービスを拒否リスト化する。
- 偽のログインポータルやアカウントテーマの誘惑に焦点を当てた定期的なセキュリティ意識向上トレーニングを実施する。
このグループは、10年以上にわたり政府機関、防衛請負業者、物流企業、政策シンクタンクを継続的に標的にしており、認証情報窃取を多段階スパイ活動に利用してロシアの戦略的利益を支援してきました。セキュリティ研究者は、BlueDeltaが2026年まで認証情報窃取活動を継続し、低コストで匿名のWebインフラへの依存を維持しつつ、ホスティングおよびリダイレクトプラットフォームをさらに多様化すると予測しています。
今回のキャンペーンは、初期アクセスと情報収集活動のための費用対効果の高い方法としての国家支援による認証情報窃取がもたらす永続的な脅威を浮き彫りにしています。脅威アクターが防御策への適応を続ける中、組織は継続的な脅威インテリジェンスの監視とインシデント対応の準備を通じて警戒を維持する必要があるでしょう。