厄介なサイバー攻撃の新しい波の中で、ロシアの国家が後援するサイバー脅威俳優は、米国国務省に、特にロシアの標的著名な学者や批評家に属するGmailアカウントへの不正アクセスを獲得するようになりました。
GoogleのThreat Intelligence Group(GTIG)のセキュリティ研究者によると、攻撃は少なくとも4月に始まり、2025年6月上旬まで続きました。ハッカーはUNC6293という名前で追跡され、有名なAPT29/ICECAPグループにリンクされていると疑われ、慎重に作成されたソーシャルエンジニアリングの戦術に依存して犠牲者から抽出されました。
ハッカーはマルウェアではなく欺ceptionを使用しました
攻撃者は、典型的なマルウェアや露骨なフィッシングリンクを使用するのではなく、より微妙なアプローチを選択しました。代わりに、彼らはパーソナライズされた電子メールと偽の会議の招待状を送信することにより、時間の経過とともにターゲットとの信頼を築きました。彼らの信頼性を高めるために、攻撃者は、彼らのメッセージのCCラインにも含めて、米国の国務省の電子メールアドレスを見栄えをもたらしました。
ロシアの著名な英国の研究者であるKeir Gilesが共有する1つの例は、受信者に含まれる一見信頼できる国務省の住所を含む転送されたメッセージ(以下を参照)を示しています。これは、信頼を得るために使用される重要な戦術です。
ターゲットが応答すると、攻撃者は一見無害な見た目のPDFファイルを送信しました – 各受信者にカスタマイズされ、公式の国務省のコミュニケーションに似ているようにテーマにして、安全な米国政府システムにアクセスするのを助けると主張する偽の指示があります。
現実には、ドキュメントは被害者を導き、アプリケーション固有のパスワード(ASP)と呼ばれるものを作成しました。これは、2段階の検証をバイパスするために、アプリがGmailアカウントにアクセスできるようにするために使用される一意の16文字コードです。
重要なことに、被害者はこのコードを攻撃者に送り返すように指示されました。 ASPで武装して、ハッカーはユーザーの電子メールに検出されずにログインし、通常のパスワードを必要とせずに長期的なアクセスを獲得したり、MFA(マルチファクター認証)アラートをトリガーしたりすることができます。
「攻撃者は、被害者の電子メール通信にアクセスして読むという最終目標で、おそらくASPを使用するようにメールクライアントを設定しました。この方法では、攻撃者がアカウントに永続的なアクセスを可能にすることもできます」 ブログ投稿に書いた 木曜日。
2つのキャンペーン、1つの戦略
GTIGは、2つの別々のキャンペーンを特定しました。
キャンペーン1 米国国務省のテーマを使用して、ASP名「Ms.State.gov」を提案しました。
キャンペーン2 ウクライナとマイクロソフトのブランディングのミックスが特徴でした。
Read more: 最高のSamsungバックアップソフトウェア11選【無料版と有料版】
どちらのキャンペーンでも、同じ住宅プロキシ(91.190.191.117)とインフラストラクチャで仮想プライベートサーバー(VP)を使用したため、調査員がそれらをリンクしやすくなりました。
取られた対策
Googleは、これらのキャンペーンによって侵害されたGmailアカウントをすでに再担保しており、この種の将来の攻撃を防ぐために積極的に取り組んでいると言います。同社は、ASPをいつでも作成および取り消すことができることをユーザーに思い出させます。 ASPが作成されると、Googleはユーザーに対応するGmailアカウント、リカバリメールアドレス、およびそのGoogleアカウントの署名入りデバイスに通知を自動的に送信して、アクションが意図的であることを確認します。
ジャーナリスト、活動家、政治アナリストなどのリスクの高いユーザーのために、Googleは高度なセキュリティを提供し、ASPを完全に作成する能力を無効にするAdvanced Protection Program(APP)などの強化されたセキュリティリソースを提供します。
「戦術とテクニックの理解を深めることで、脅威の狩猟能力が向上し、業界全体でユーザー保護が強化されることを願っています」とブログ投稿は締めくくりました。
