スターブリザード脅威アクター：執拗なサイバースパイ活動

進行中のサイバー攻撃におけるもう一つの戦術

サイバー脅威の状況は進化し続けており、スパイ活動によるサイバー活動に関する議論で頻繁に登場する名前の 1 つが Star Blizzard です。ロシアの活動と関係があると考えられているこの脅威アクターは、これまで認証情報の収集に重点を置いてきました。しかし、最近、その手法が変化し、洗練されたスピアフィッシング手法を使用して WhatsApp アカウントを標的とする別のキャンペーンが展開されています。この適応は、検出を回避し、機密情報へのアクセスを維持するための取り組みを示唆しています。

スターブリザードの事業目的

スターブリザードは、以前はSEABORGIUMやBlueCharlieなど複数の別名で知られており、10年以上にわたって活動しています。主なターゲットは、政府、外交、防衛政策、国際関係に携わる個人や組織で、特にロシア問題やウクライナ関連の支援活動に注力している組織です。研究者、ジャーナリスト、NGOもその活動の影響を受けています。

このグループの最終的な目標は、通信に侵入し、機密データを抽出し、戦略的な情報を得ることです。Star Blizzard は、資格情報を侵害し、会話を傍受することで、ターゲットへの継続的なアクセスを維持し、さらなるデータ収集と潜在的な影響力操作を可能にすることを目指しています。

脅威アクターの活動方法

Star Blizzard の以前のキャンペーンは、主にスピアフィッシング メールを中心としており、受信者を騙してログイン認証情報を明らかにさせるように設計されていました。通常、これらのメールは、ProtonMail などの安全なメール サービスに登録されているアカウントから送信されます。メッセージには、中間者攻撃 (AiTM) 戦術を使用して作成された偽のページにつながるリンクが含まれており、攻撃者はログインの詳細と 2 要素認証 (2FA) コードを傍受できます。

過去の攻撃では、Star Blizzard は HubSpot や MailerLite などの正規のメール マーケティング サービスも活用して、送信者の身元を隠し、セキュリティ フィルターを回避していました。このアプローチにより、Star Blizzard は、攻撃に直接関連するドメインに頼ることなく、偽のメッセージを配信することができました。

これらの取り組みに大きな混乱が生じたのは、マイクロソフトと米国司法省が、この脅威アクターに関連する 180 以上のドメインを差し押さえる措置を取ったときでした。これらのドメインは、2023 年 1 月から 2024 年 8 月まで、著名な標的に対する攻撃を容易にするために使用されていました。しかし、この混乱は Star Blizzard の活動の終わりを意味するものではなく、むしろ、このグループが戦術を改良するきっかけとなりました。

WhatsAppの悪用への移行

2024年後半、スターブリザードがWhatsAppアカウントの乗っ取りを含む手法に拡大したとの報道がありました。これは以前の手法からの大きな逸脱であり、同グループの適応力を強調するものでした。

このキャンペーンは、米国政府関係者からの通信を装ったフィッシングメールから始まりました。これらのメールには、人道的取り組みを支援する WhatsApp グループに受信者を招待する QR コードが含まれていました。QR コードは意図的に壊れており、受信者は支援を求めてメールに返信するよう促されていました。

受信者が返信すると、短縮リンクに誘導する 2 番目のメッセージが届きました。このリンクをクリックすると、WhatsApp アカウントを他のデバイスに接続するための QR コードを表示する Web ページが表示されます。このコードをスキャンすることで、被害者は知らないうちに Star Blizzard に WhatsApp アカウントへの不正アクセスを許可し、プライベートな会話や機密情報が漏洩する恐れがありました。

スターブリザードの活動が意味するもの

スターブリザードの戦術の進化は、サイバースパイ集団がもたらす脅威が依然として続いていることを浮き彫りにしています。政府機関や外交機関を標的にしていることは、地政学的目的に利用できる情報収集の継続的な取り組みを示しています。さらに、WhatsApp を攻撃ベクトルとして使用することは、専門家や組織が広く使用している通信プラットフォームのセキュリティに関する懸念を引き起こします。

この特定のキャンペーンは 2024 年 11 月末までに終了すると思われましたが、戦略の転換はグループの適応力を示しています。既存の活動が中断されたときに新しい方法に切り替える能力により、Star Blizzard は依然として強力なサイバー脅威であり続けています。

標的型攻撃に対する防御の強化

Star Blizzard の標的となることが多い業界で事業を展開している方は、引き続き警戒を怠らないようお勧めします。スピアフィッシング メールの特徴を認識し、予期しない通信を確認し、迷惑な QR コードや短縮リンクとのやり取りを避けることで、このような脅威にさらされるリスクを軽減できます。

セキュリティ専門家は、特に機密性の高い通信を扱うアカウントについては、可能な場合は多層認証を有効にすることを推奨しています。脅威の攻撃者が技術を洗練させていく中で、デジタル資産と通信を不正アクセスから保護するには、予防的な対策が依然として不可欠です。

最後に

スターブリザードの継続的な活動は、サイバー脅威の進化を思い起こさせます。このグループは、混乱に応じて戦術を変える能力があり、継続的な警戒と適応型セキュリティ戦略の重要性を強調しています。法執行機関やサイバーセキュリティ企業がこのような脅威を軽減するために努力する一方で、組織や個人は、高度なサイバースパイ活動を特定し、それに対抗するために積極的に行動する必要があります。