ロシア支援のサイバー攻撃グループ、米国拠点の軍事兵器サプライヤーを偽装

Recorded Futureは12月5日(米国時間)、「Exposing TAG-53’s Credential Harvesting Infrastructure Used for Russia-Aligned Espionage Operations」において、ロシアのサイバー攻撃うグループが展開しているクレデンシャルハーベスティングのインフラについて伝えた。これは、ロシア国家にひもづくサイバー攻撃者グループ「TAG-53」が活用しているインフラとみられている。

2022年7月からTAG-53が認証情報を窃取するために、クレデンシャルハーベスティングのインフラを繰り返し利用していることが明らかとなった。新たに発見されたこのインフラは、これまでロシアの国家的利益に合致した活動に関与したとされるCallisto Group、COLDRIVER、SEABORGIUMに起因する他のインフラの戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)と重複している可能性があると分析されている。

このインフラでは38のドメインが発見されており、それらのうち9つのドメインに潜在的なターゲット組織またはTAG-53が偽装しようとしている組織が含まれているという。標的または偽造対象の可能性のある組織は次のとおり。

UMO Poland
Global Ordnance
Sangrail LTD
DTGruelle
The Commission for International Justice and Accountability (CIJA)
Blue Sky Network
The Ministry of Internal Affairs of the Russian Federation (MVD)

これらのインフラの中には、米国に拠点を置く軍事兵器およびハードウェアサプライヤーであるGlobal Ordnanceを装った偽のログインページが発見されており、すでに一部運用されていることがわかった。このなりすましページはフィッシングに使われている可能性があると考えられている。