APT29 によって悪用されたインターネットドメインを Amazon が特定

本ブログは 2024 年 10 月 24 日に公開されたBlog “Amazon identified internet domains abused by APT29” を翻訳したものです。

APT29 (別名 Midnight Blizzard) が最近、何千もの人々に対してフィッシング攻撃を試みました。

ウクライナ国家コンピューター緊急対応チーム (CERT-UA) の調査を基に、Amazon は最近、ロシアの対外諜報庁 (SVR) とつながりのある APT29 グループによって不正利用されたインターネットドメインを特定しました。今回の事例では、政府機関、企業、軍関係者が標的とされ、フィッシングキャンペーンはロシアの敵対国からの認証情報の窃取を目的としていました。APT29 は対象者を絞った標的型攻撃が代表的な手法ですが、今回ははるかに多くの標的に対し、ウクライナ語のフィッシングメールを送信しました。使用されたドメイン名の一部は、標的に AWS のドメインだと錯覚させようとするものでした（実際には AWS のドメインではありません）。しかし、Amazon が標的だったわけではなく、AWS のお客様の認証情報を狙っていたわけでもありません。むしろ、APT29 は Microsoft リモートデスクトップを通じて標的の Windows 認証情報を狙っていました。この活動を分析した我々は、直ちに APT29 が AWS になりすまして悪用していたドメインを差し押さえるプロセスを開始し、活動を阻止しました。CERT-UA は、この活動に関する追加詳細を含むアドバイザリを発行しています。

インターネットの安全性を高めるために尽力してくれた Amazon のサイバー脅威インテリジェンスチームと CERT-UA の感謝します。

このブログは、Amazon の最高情報セキュリティ責任者兼セキュリティエンジニアリング部門 VP の CJ Moses が当初 LinkedIn に投稿したものです。

このブログに関する質問がある場合は、AWS サポートにお問い合わせください。