BlueDelta、ウクライナ政府のRoundcubeメールサーバーを悪用してスパイ活動を支援
Recorded FutureのInsikt Groupは、ウクライナのComputer Emergency Response Team(CERT-UA)と協力して、Recorded FutureのNetwork Traffic Intelligenceによって発見されたスピアフィッシングキャンペーンと相互相関していた、ウクライナの知名度の高いエンティティを標的としたキャンペーンを発見しました。 このキャンペーンでは、ロシアのウクライナ侵攻に関するニュースを利用して受信者にメールを開くよう促し、添付ファイルに触れることなく 、CVE-2020-35730を使用して脆弱なRoundcubeサーバー(オープンソースのウェブメールソフトウェア)を即座に侵害しました。 このキャンペーンは、2022年にMicrosoft Outlookのゼロデイ脆弱性 CVE-2023-23397 を悪用した過去のBlueDeltaの活動と重複していることがわかりました。
Insikt Groupが特定したBlueDeltaの活動は、2021年11月から稼働しているようです。 このキャンペーンは、CERT-UA が APT28(Forest BlizzardやFancy Bearとしても知られる)に起因する活動と重複しており、複数の西側諸国政府がロシア連邦軍(GRU)の参謀本部に帰属させています。 この作戦では、BlueDeltaは主に、航空機のインフラに関与する政府機関や軍事機関など、ウクライナの組織を標的にしました。
BlueDeltaキャンペーンは、スピアフィッシング手法を使用して、Roundcubeの脆弱性(CVE-2020-35730、CVE-2020-12641、およびCVE-2021-44026)を悪用した添付ファイル付きの電子メールを送信して、偵察および流出スクリプトを実行し、受信電子メールをリダイレクトし、セッションCookie、ユーザー情報、およびアドレス帳を収集しました。 添付ファイルには、BlueDelta が管理するインフラストラクチャから追加の JavaScript ペイロードを実行する JavaScript コードが含まれていました。 このキャンペーンは、ニュースコンテンツを受信者を悪用するためのおとりにすばやく武器化し、高いレベルの準備を示しました。 スピアフィッシングメールには、ウクライナに関連するニューステーマが含まれており、件名と内容は正当なメディアソースを反映していました。
BlueDelta OutlookとRoundcubeスピアフィッシング感染チェーンの重複
BlueDeltaは、主に政府や軍/防衛組織の間で、ウクライナおよびヨーロッパ全体のエンティティに関する情報を収集することに長年の関心を示してきました。 最近の活動は、これらの事業体、特にウクライナ国内の事業体に引き続き焦点を当てていることを表している可能性が非常に高いです。 BlueDeltaの活動は、ロシアのウクライナ侵攻を支援するための軍事情報収集を可能にすることを意図している可能性が高いと評価しており、BlueDeltaは、より広範なロシアの軍事的取り組みを支援するために、ウクライナ政府および民間部門の組織を標的にすることを優先し続けることはほぼ確実であると考えています。
Recorded FutureとCERT-UAのコラボレーションは、戦略的脅威(この場合はロシアのウクライナに対する戦争)に対する集団防衛を可能にするための業界と政府のパートナーシップの重要性をさらに強調しています。
文末脚注付きの分析全体を読むには、 ここをクリックして レポートをPDFとしてダウンロードしてください。
付録A — 侵害を示す指標
|
ドメイン アネリア[.]網 アームプレス[.]網 ceriossl[.]情報 グローバルニュースワールド[.]コム グローバル・ワールド・ニュース[.]網 グローバルニュースnew[.]コム 情報センター[.]ICU mai1[.]名前ニュース[.]情報 ニュースニュース[.]情報 runstatistics[.]網 ソースcdn[.]網 スターバー[.]ページのトップへ ターゲット側の IP アドレス 46.183.219[.]207 (2022年1月〜2023年6月) 77.243.181[.]238 (2022年3月〜2023年6月) 144.76.69[.]94 (2022年3月〜2023年6月) 46.183.219[.]232 (2022年5月〜2023年3月) 45.138.87[.]250 (2021年12月〜2022年3月) 144.76.7[.]190名(2022年1月〜2022年3月) 77.243.181[.]10 (2022年2月〜2022年3月) 5.199.162[.]132 (2022年1月〜2022年3月) 185.210.217[.]218 (2022年1月〜2022年2月) 144.76.184[.]94 (2021年12月〜2021年12月) 162.55.241[.]4 (2021年11月〜2021年12月) 185.195.236[.]230 (2021年11月〜2021年12月) 送信者のメールアドレス ukraine_news@meta[.]UA |
付録B — MITRE ATT&CK手法
| 戦術:手法 | ATT&CKコード |
| 初期アクセス: スピアフィッシングの添付ファイル | T1566.001 |
| 実行: クライアント実行のためのエクスプロイト | T1203 |
| 実行: コマンドおよびスクリプトインタープリター: JavaScript | T1059.007 |
| 防御回避: 難読化されたファイルまたは情報 | T1027 |
| 防御回避: ファイルまたは情報の難読化/デコード | T1140 |
| 資格情報へのアクセス: OS 資格情報のダンプ: /etc/passwd と /etc/shadow | T1003.008 |
| 発見: システム情報検出 | T1082 |
| 発見: システムネットワーク構成の検出 | T1016 |
| 発見: システム所有者/ユーザーの検出 | T1033 |
| 発見: システムネットワーク接続の検出 | T1049 |
| 徴収: メール収集: メール転送ルール | T1114.003 |
| コマンド&コントロール: アプリケーション層プロトコル:Webプロトコル | T1071.001 |
| コマンド&コントロール: データエンコーディング:標準エンコーディング | T1132.001 |
| 流出: 代替プロトコルによる流出 | T1048 |
| 流出: 自動流出 | T1020 |
関連