GRUのBlueDeltaが欧州の主要ネットワークを多段階のスパイ活動で標的に

Insikt Groupは、GRUのBlueDelta運用インフラストラクチャの進化を追跡し、情報窃取マルウェアHeadlaceとクレデンシャルハーベスティングWebページを使用してヨーロッパ全体のネットワークを標的にしています。 BlueDeltaは、2023年4月から12月にかけて、フィッシング、インターネットサービスの侵害、土地でのバイナリーによる情報抽出など、3つの異なるフェーズに分けてHeadlaceのインフラを展開しました。 クレデンシャルハーベスティングページは、ウクライナ国防省、欧州の交通インフラ、アゼルバイジャンのシンクタンクを標的としており、地域や軍事の力学に影響を与えるためのロシアのより広範な戦略を反映しています。

GRUのBlueDeltaヨーロッパ全土でのスパイ活動

ロシアの戦略軍事情報部隊であるGRUは、地政学的な緊張が続く中、高度なサイバースパイ活動を続けています。 Insikt Groupの最新の調査結果は、カスタムマルウェアと クレデンシャルハーベスティング を使用して ヨーロッパ全体の主要なネットワークを体系的に標的にしてきたBlueDelta の行動を強調しています。

2023年4月から12月にかけて、 BlueDelta は、ジオフェンシング技術を使用して、ウクライナに重点を置いたヨーロッパ全体のネットワークを標的とする3つの異なるフェーズでHeadlaceマルウェアを展開しました。 Headlaceマルウェアは、フィッシングメールを使用して展開され、時には正当な通信を模倣して効果を高めることもあります。 BlueDeltaは、正規のインターネットサービス(LIS)とLiving Off-the-Landバイナリ(LOLBins)を悪用し、通常のネットワークトラフィック内でさらに操作を偽装します。 この巧妙さにより検出が困難になり、ネットワークを侵害する際のBlueDeltaの成功率が高まります。

BlueDeltaの事業の注目すべき側面の1つは、クレデンシャルハーベスティングページに重点を置いていることです。 YahooやUKR[.]netでは、2要素認証とCAPTCHAチャレンジを中継できる高度な機能を採用しています。 最近の作戦は、ウクライナ国防省、ウクライナの武器輸出入会社、ヨーロッパの鉄道インフラ、アゼルバイジャンに拠点を置くシンクタンクを標的にしている。

ウクライナ国防省や欧州の鉄道システムに関連するネットワークへの侵入に成功すれば、BlueDeltaは戦場の戦術やより広範な軍事戦略を形作る可能性のある情報を収集できるようになる可能性がある。 さらに、ブルーデルタ航空がアゼルバイジャン経済社会開発センターに関心を持っていることは、地域の政策を理解し、場合によっては影響を与えるためのアジェンダを示唆しています。

政府、軍事、防衛、および関連セクターの組織にとって、BlueDeltaの活動の台頭は、高度なフィッシング攻撃の検出を優先し、重要でないインターネットサービスへのアクセスを制限し、 重要なネットワークインフラストラクチャの監視を強化するなど、サイバーセキュリティ対策を強化することへの呼びかけです。 このような国家レベルの敵対者から防御するには、高度な脅威を認識して対応するための継続的なサイバーセキュリティトレーニングが不可欠です。

分析全文を読むには、ここをクリックしてレポートをPDF形式でダウンロードしてください。