ロシア政府支援のハッカー集団「StarBlizzard」がWhatsAppから外交官を狙う

Microsoftはロシア政府が支援しているハッカー集団「StarBlizzard」が、各国の政府・外交関係者、ロシアに関連する防衛・国際関係の研究者、ウクライナ支援組織等を標的として、WhatsAppのアカウントを侵害する新しい標的型攻撃キャンペーンを展開していると解説しています。

外交官を狙う標的型攻撃

このキャンペーンは、2024年11月中旬に確認されました。

MicrosoftThreatIntelligenceのレポートによると、ハッカー組織としてのStarBlizzardのTTP（戦術：Tactics、技術：Techniques、手法：Procedures）が変化し、攻撃ベクトルが新しくなるという戦術的な転換点であると報告されています。

Star Blizzard のターゲットは、政府や外交 (現職および元職者)、ロシアに関係する研究を行っている防衛政策または国際関係の研究者、およびロシアとの戦争に関連するウクライナへの支援源に関係する人物が最も多くなっています。

攻撃手法：WhatsAppマルウェアへの招待

StarBlizzardは、有名な政治家や外交官等の米国政府関係者になりすまし、電子メールを標的に送り付けて攻撃を開始します。メールの中身は、ウクライナを支援する非政府組織に関連するWhatsAppのチャットグループへの招待で、読み取れないQRコードが貼られています。

これは、ターゲットとなる受信者に返信させるように意図的に行われています。

画像：Microsoft

受信者が返信すると、StarBlizzardは「t.ly」の短縮リンクを含む別のメールを新たに送信してきます。

画像：Microsoft

このリンクは、読み取れる新たなQRコードを含み、WhatsAppへの招待ページに見せかけた偽のWebページに誘導します。そして、受信者のWhatsAppアカウントとデバイス（攻撃者のデバイス）をリンクさせようとしてきます。

受信者がこのページの指示に従うと、StarBlizzardはWhatsAppアカウント内のメッセージにアクセスできるようになります。また、Web版のWhatsAppからアクセスし、 ブラウザーのプラグインによって、データを盗み出そうとします。

ソーシャルエンジニアリングの為、EDRやアンチウイルスソフトで検知できない

この攻撃は、ソーシャルエンジニアリングによって成立します。

マルウェアを含んでいないため、EDRなどのウイルス対策ツールでは検出できません。ユーザーは、不正な通信に注意し、グループへの招待を受け取った場合は注意する必要があります。

対策と注意点

対策としてWhatsAppアカウントにリンクされているデバイスを確認することが推奨されています。

これは、iPhoneやAndroidのWhatsAppアプリ内にある「リンク済みのデバイス」から確認でき、認識していないデバイスはすべてログアウトする必要があります。特に以下に関連する全てのユーザに対して、上記事項が推奨されています。

• 政府または外交関係者 (現職および元職者)
• ロシアに関連する防衛または国際関係の研究者
• ロシアとの紛争に関連するウクライナへの支援関係者

疑わしいメールを受け取った場合は、以前使用したメールアドレスを使用して、メールを送信したと思われる人物に連絡し、実際にその人から送信されたことを確認する事をお勧めします。

 

2024年10月、Microsoftと米国司法省はStarBlizzardが使用していた180を超えるWebサイトを差し押さえ、削除しました。しかし、このことはStarBlizzardのフィッシング活動に短期的な影響を及ぼしたものの、彼らは活動を再開するためにすぐに新しいドメインに移行しました。これは、StarBlizzardのTTPがMicrosoft等に露呈したことへの対応であり、検出を回避するためにTTPを変更した兆候だと思われます。

このキャンペーンは限定的であり、11 月末に終了したようです。

しかし、StarBlizzardが機密情報にアクセスするためにスピアフィッシングキャンペーンを継続する粘り強さを持っていることが明らかになったとしています。