ロシアのハッカーがMFAを回避してGmailアカウントを侵害

新たなサイバー攻撃の波が懸念される中、ロシアの国家支援を受けたサイバー脅威アクターが、米国国務省を偽装してGmailアカウントに不正アクセスを試み、特にロシアに対する著名な学者や批評家のアカウントを標的にしていることが明らかになりました。

Googleの脅威インテリジェンスグループ（GTIG）のセキュリティ研究者によると、攻撃は少なくとも4月から始まり、2025年の初めの6月まで続きました。ハッカーはUNC6293という名前で追跡されており、著名なAPT29/ICECAPグループに関連していると疑われています。彼らは、被害者からログイン資格情報を引き出すために、巧妙に作成されたソーシャルエンジニアリング戦術に依存していました。

ハッカーは欺瞞を使用し、マルウェアは使用せず

典型的なマルウェアや露骨なフィッシングリンクを使用する代わりに、攻撃者はより微妙なアプローチを選びました。代わりに、彼らは時間をかけてターゲットとの信頼を築くために、個別のメールや偽の会議招待を送信しました。信頼性を高めるために、攻撃者は公式に見える米国国務省のメールアドレスを偽装し、メッセージのCC欄にも含めました。

イギリスのロシア研究者であるキール・ジャイルズが共有した一例では、受信者の中に信頼できる国務省のアドレスが含まれた転送メッセージ（下記参照）が示されています。これは信頼を得るために使用される重要な戦術です。

ターゲットが応答すると、攻撃者は一見無害に見えるPDFファイルを送信しました — 各受信者にカスタマイズされ、公式の国務省の通信に似せたテーマが付けられたもので、偽の指示が含まれており、彼らが米国政府の安全なシステムにアクセスするのを助けると主張していました。

実際には、この文書は被害者にアプリケーション固有のパスワード（ASP）を作成するように指示しました — Gmailアカウントへのアプリのアクセスを許可するために使用されるユニークな16文字のコードで、二段階認証を回避します。

重要なことに、被害者はこのコードを攻撃者に返送するように指示されました。ASPを持つことで、ハッカーはユーザーのメールに検知されることなくログインし、通常のパスワードやMFA（多要素認証）アラートをトリガーすることなく、長期的なアクセスを得ることができました。

「攻撃者はその後、ASPを使用するメールクライアントを設定し、最終的には被害者のメールのやり取りにアクセスして読むことを目的としている可能性が高いです。この方法により、攻撃者はアカウントへの持続的なアクセスを持つことができます」とGTIGは木曜日のブログ投稿で述べました。

2つのキャンペーン、1つの戦略

** GTIGは、2つの別々だが関連するキャンペーンを特定しました：

キャンペーン1は、米国国務省のテーマを使用し、ASP名「ms.state.gov」を示唆しました。

キャンペーン2は、ウクライナとマイクロソフトのブランドを混合したものでした。

両方のキャンペーンは、同じ住宅プロキシ（91.190.191.117）と仮想プライベートサーバー（VPS）をインフラに使用しており、調査者がそれらを結びつけるのを容易にしました。

取られた対策

Googleは、これらのキャンペーンによって侵害されたGmailアカウントをすでに再セキュリティ化しており、今後この種の攻撃を防ぐために積極的に取り組んでいると述べています。同社は、ASPはいつでも作成および取り消すことができることをユーザーに思い出させています。ASPが作成されると、Googleは自動的にユーザーの対応するGmailアカウント、回復用メールアドレス、およびそのGoogleアカウントでサインインしているデバイスに通知を送信し、そのアクションが意図的であったことを確認します。

ジャーナリスト、活動家、政治アナリストなどの高リスクユーザーに対して、Googleは、より強力なセキュリティを提供し、ASPの作成を完全に無効にする高度な保護プログラム（APP）などの強化されたセキュリティリソースを提供しています。

「戦術と技術の理解が向上することで、脅威ハンティング能力が強化され、業界全体でのユーザー保護が強化されることを期待しています」とブログ投稿は締めくくられました。