BlueDelta’s Persistent Campaign Against UKR.NET

このレポートの分析の締め切り日は2025年7月30日でした。

Executive Summary

2024 年 6 月から 2025 年 4 月にかけて、 Recorded FutureのInsikt Group 、ウクライナで広く使用されている Web メールおよびニュース サービスである UKR.NET のユーザーを対象とした持続的な認証情報収集キャンペーンを特定しました。 この活動は、ロシア政府が支援する脅威グループ BlueDelta (APT28、Fancy Bear、Forest Blizzard としても知られる) によるものとされています。このキャンペーンは、GRU に関連した認証情報の盗難とスパイ活動を記録した、2024 年 5 月のInsikt Groupレポート「 GRU の BlueDelta が多段階スパイ活動でヨーロッパの主要ネットワークをターゲットにしている」に詳述されている BlueDelta の以前の活動に基づいています。 この攻撃では具体的な標的は明らかにされていないものの、BlueDelta がこれまで諜報収集を可能にするために認証情報の窃盗に重点を置いてきたことから、より広範な GRU 諜報要件を満たすためにウクライナのユーザーから機密情報を収集する意図があったことが強く示唆されます。

Insikt Group は、BlueDelta が UKR.NET ログイン ポータルを装った複数の認証情報収集ページを展開していることを確認しました。このグループは、Mocky、DNS EXIT、そして後にngrokやServeoなどのプロキシトンネリングプラットフォームなどの無料Webサービスを利用して、ユーザー名、パスワード、2要素認証コードを収集しました。BlueDelta は、これらの認証情報収集ページへの埋め込みリンクを含む PDF ルアーを配布し、自動電子メール スキャンとサンドボックス検知をバイパスする可能性がありました。 このレポートで使用されているツール、インフラストラクチャの選択、および特注の JavaScript は、BlueDelta の確立された手法と一致しており、他のロシアの脅威グループによる使用は確認されていません。

BlueDelta が無料ホスティングと匿名トンネリング インフラストラクチャを継続的に悪用しているのは、2024 年初頭に西側諸国が主導するインフラストラクチャの削除に対する適応的な対応を反映しているものと考えられます。 このキャンペーンは、ロシアがウクライナで進行中の戦争のさなか、情報収集活動を支援するため、GRUが情報漏洩/侵入ウクライナユーザー認証情報に継続的に関心を持っていることを強調している。

主な調査結果

• BlueDelta は UKR.NET ユーザーを常にターゲットとし、2024 年から 2025 年にかけて長期にわたる認証情報収集活動を継続しました。
• このグループは、埋め込まれた URL を通じて認証情報を収集するページにリンクする悪意のある PDF ルアーを配布し、一般的な電子メール フィルタリングやサンドボックスの検知TTPs回避できるようにしました。
• BlueDelta は、情報漏洩 / 侵入ルーターから、ngrok や Serveo などのプロキシ トンネリング プラットフォームに移行して、認証情報を中継し、CAPTCHA と 2 要素認証チャレンジをバイパスしました。
• 2025 年 3 月から 4 月までの活動により、BlueDelta の多層インフラストラクチャが更新され、新しい第 3 層コンポーネントとこれまで見られなかった第 4 層コンポーネントが含まれることが明らかになり、運用の階層化と洗練度が高まっていることがわかりました。
• このキャンペーンは、GRU が諜報目的でウクライナのユーザー認証情報を収集することに継続的に注力していることを反映し、BlueDelta の認証情報盗難作戦の継続的な改善を示しています。

背景

BlueDelta は、ロシア連邦軍参謀本部 (GRU) と関係のある、ロシア政府が支援する脅威グループです。APT28、Fancy Bear、Forest Blizzard としても知られるこのグループは、10 年以上にわたって認証情報の収集とスパイ活動を行ってきました。この報告書で詳述されている活動は、Insikt Group が追跡し、複数の西側諸国政府によって一貫して GRU によるものとされてきた過去の BlueDelta キャンペーンと一致しています。

BlueDelta は、少なくとも 2000 年代半ば以降、政府機関、防衛請負業者、武器サプライヤー、物流会社、政策シンクタンクなど、幅広いターゲットに対してフィッシングや認証情報の盗難活動を行ってきました。これらの取り組みは、ロシアの軍事作戦と戦略的利益に関連する認証情報と情報を収集することを目的としています。 これまで報告された活動は、無料の Web インフラストラクチャと情報漏洩/侵害ルーターでホストされている偽のログイン ポータルを使用してユーザー名、パスワード、認証コードを取得する UKR.NET およびその他の Web メール サービスに重点を置いていました。

技術的分析

2024 年 6 月 14 日、 Insikt Group 、図 1に示すように、UKR.NET ログイン ページをテーマとした新しい BlueDelta 認証情報収集ページを特定しました。 このページは無料の API サービスである Mocky を使用してホストされており、BlueDelta は 2024 年を通じて認証情報の収集ページのほとんどでこれを定期的に使用していました。

図 1: 認証情報収集ページには UKR.NET ログイン ページが表示されました (情報源: Recorded Future )

悪意のある UKR.NET ページには、Insikt Group が以前に観察したものと非常によく似た機能がありました。このページはJavaScriptを使用して認証情報を盗み出し、CAPTCHA情報をドメインに中継し、高ポートの組み合わせkfghjerrlknsm[.]line[.]pm[:]11962を修正しました。図2の通り。

図 2: UKR.NET認証情報取得ページJavaScript（情報源： Recorded Future ）

line[.]pm apexドメインは、無料のサブドメインホスティングを提供する無料ホスティング会社DNS EXITが所有しています。

分析時点では、ドメインはIPアドレス18[.]157[.]68[.]73に解決され、これは、世界的に分散されたリバースプロキシサービス ngrok によって使用されている疑いのある Amazon Elastic Compute Cloud (EC2) インスタンスです。ngrok は、ファイアウォールの背後にあるサーバーをプロキシ サーバーに接続し、ファイアウォール ルールを変更せずにそのサーバーをインターネットに公開できるようにする無料サービスを提供しています。この場合、BlueDelta は上流インフラストラクチャの実際の場所を隠すためにこのサービスを悪用している可能性があります。

ngrok の使用は、BlueDelta のインフラストラクチャにおける注目すべき変化を表しています。これは、脅威グループが以前、情報漏洩 / 侵入 Ubiquiti ルーターを使用して、認証情報をキャプチャし、2FA および CAPTCHA チャレンジを処理する Python スクリプトをホストしていたためです。 この変更は、連邦捜査局（FBI）、国家安全保障局（NSA）、米国サイバーコマンド、および国際パートナーが2024年初頭にBlueDeltaのインフラを解体しようとする取り組みに対する反応である可能性が高い。

BlueDeltaは、kfghjerrlknsm[.]line[.]pmでホストされているページに新しい機能を追加し、無料のHTTPリクエストおよびレスポンスAPIサービスHTTPBinを使用して被害者のIPアドレスをキャプチャしました（図3を参照）。

var respIP=$.getJSON('hxxps://httpbin[.]org/ip');

図 3: 認証情報収集ページ JavaScript、被害者の IP アドレスを取得するために使用 (情報源: Recorded Future )

2024 年 7 月と 9 月に、最初のページの構成と一致しながらも異なる Mocky URL を使用し、ページの 1 つは異なるポート番号を使用するように構成されていた 2 つの追加の認証情報収集ページが発見されました。これは BlueDelta が新しい ngrok トンネルを設定したためであると考えられます。

2024 年 9 月 13 日、 Insikt Group新しい UKR.NET 認証情報収集ページを特定し、これも Mocky でホストされました。 このページでは、BlueDelta が認証情報を抽出し、CAPTCHA 情報をドメイン5ae39a1b39d45d08f947bdf0ee0452ae[.]serveo[.]netに中継しました。

頂点ドメインserveo[.]net は、ngrok に似た無料のリモート ポート転送サービスを提供する企業である Serveo が所有しています。

2024 年 10 月と 11 月に、 Insikt Group UKR.NET をテーマにした 3 つの新しい認証情報収集ページを特定しました。 繰り返しになりますが、これらのページは Mocky を使用してホストされており、以前に報告されたページと同様の JavaScript を使用して構築されていました。しかし、最新のページでは、BlueDeltaはカスタムDNS EXITドメインjkbfgkjdffghh[.]linkpc[.]netを使用して、アップストリームの認証情報のキャプチャとリレー機能をngrokに戻しました。2 つの別個の固定高エフェメラル ポート (10176 と 17461) で構成されています。分析時点では、 linkpc[.]netドメインはngrokの疑いのあるIPアドレス3[.]67[.]15[.]169に解決されました。

さらに、BlueDeltaは2つのページに新しい第一段階のリダイレクトドメインを追加しました: ukraine[.]html-5[.]meそしてukrainesafe[.]is-great[.]org 。おそらく、脅威アクターはフィッシングメール内の偽の URL を隠すためにこの追加手順を追加したと思われます。 頂点ドメインhtml-5[.]meとis-great[.]org無料ホスティング会社 Byet Internet Services が所有しています。

2024 年 12 月 27 日、 Insikt Group 、Mocky URL run[.]mocky[.]io/v3/72fa0a52-6e6e-43ad-b1c2-4782945d6050でホストされている新しい BlueDelta UKR.NET 認証情報 収集ページを特定しました。 悪意のある UKR.NET ページには、以前に詳細に説明したページと非常によく似た機能がありました。このページはJavaScriptを使用して認証情報を盗み出し、CAPTCHA情報を同じDNS EXITドメインに中継し、更新された固定ポートjkbfgkjdffghh[.]linkpc[.]net:17461を使用していました。図4および図5に示すように。

図 4: linkpc[.]netを含むJavaScript関数と変数ドメイン (情報源: Recorded Future )

図 5: 認証情報の取得に使用される JavaScript コード (情報源: Recorded Future )

この認証情報収集ページの分析中に、Insikt Group は 20 を超えるリンクされた PDF ファイルを検出しました。これは BlueDelta がフィッシング詐欺として被害者に送信したものと考えられます。図 6に示すように、PDF ルアー ドキュメントは、ターゲットに UKR.NET アカウントでの不審なアクティビティを通知し、リンクをクリックしてパスワードをリセットするように要求します。

図 6: BlueDelta が被害者を誘導して認証情報収集ページへのリンクをクリックさせるために使用する PDF ルアー

（出典：Recorded Future）

各 PDF には、認証情報収集ページへのハイパーリンクが含まれていました。これらのリンクのほとんどは、リンク短縮サービスを使用して短縮されたか、無料のホスティング プロバイダーを通じて登録されたドメインを使用していました。2023年以降、BlueDeltaは次のリンク短縮プラットフォームを使用しています。

• doads[.]org
• in[.]run
• t[.]ly
• tiny[.]cc
• tinyurl[.]com
• linkcuts[.]com

BlueDelta は、リンク短縮サービスに加えて、ホスティング プロバイダーの InfinityFree または Byet Internet Services の無料ドメイン、または無料ブログ プラットフォームの Blogger (旧 Blogspot) が提供するサブドメインを、リンク短縮サービスと組み合わせて第 2 層リンク リダイレクトに使用しています。2023 年以降、BlueDelta キャンペーンでは次の Apex ドメインが使用されています。

• *.blogspot[.]com
• *.html-5[.]me
• *.is-great[.]org
• *.mydiscussion[.]net
• *.rf[.]gd
• *.synergize[.]co
• *.talebco[.]ir

BlueDelta のインフラストラクチャ構成は、図 7に示すように、認証情報収集セットアップで 6 つの個別のステップを活用し、2024 年 12 月から 2025 年 4 月の間、ほぼ静的のままでした。

図 7: BlueDelta 認証情報収集インフラストラクチャ構成 (情報源: Recorded Future )

第 2 層では、BlueDelta は引き続き無料の API サービス Mocky を使用して、すべての認証情報収集ページをホストしています。最新ページの HTML と JavaScript は、既存の JavaScript 関数の 3 か所に新しいコード行 (図 8 ) が追加されていることを除けば、以前に説明したものとほとんど変わりません。

req.setRequestHeader("ngrok-skip-browser-warning", "1");

図 8: ngrokブラウザの警告を無効にするために追加された新しいコード行（情報源： Recorded Future ）

追加された JavaScript 行は、ページから ngrok サービスへのすべての送信リクエストに新しい HTTP リクエスト ヘッダーを追加します。この新しいヘッダーは、ngrok のブラウザ警告ページを無効にするために使用されます。これは、接続がプロキシ サービス経由で送信されるときにブラウザ内に警告を表示する安全機能です。この追加ヘッダーがないと、BlueDelta のターゲットはページを操作するときに警告を受け取り、その悪意のある性質に気付く可能性があります。

2025 年 3 月 13 日から 4 月 17 日の間に、BlueDelta は Tier 3 インフラストラクチャを更新しました。攻撃者は、ngrok サーバーに解決される DNS EXIT の空きドメインを使用する代わりに、表 1に示すように、ngrok v3 の空きサブドメインを使用しました。

表1: BlueDelta が使用する Ngrok の無料ドメイン (情報源: Recorded Future )

第 4 層では、BlueDelta は専用サーバーを使用しました。最初の第4層IPアドレス5[.]135[.]199[.]21 、フランスに所在し、2025年2月1日から4月10日まで活動していました。アクティブだった当時、サーバーの TCP ポート 22 には SSH が開かれており、TCP ポート 80 にはデフォルトの nginx バナーがありました。さらに、TCP ポート 4430 ではカスタム HTTP サーバーが実行されていました。このポートは、ngrok トンネルからの接続に使用されるポートであると考えられます。このポートでホストされているTLS証明書は、共通名jkbfgkjdffghh[.]linkpc[.]netを使用していました。以前のバージョンのインフラストラクチャの ngrok サーバーで確認されたものと同じ DNS EXIT ドメイン。

2025 年 4 月 18 日から 22 日まで、タイポスクワッティング ドメインukrinet[.]com IPアドレス5[.]135[.]199[.]21に解決されました。これはバナー分析で強調表示された日付ウィンドウ外ですが、UKR.NET に近いため、このドメインは BlueDelta のアクティビティに関連している可能性があります。

さらに、2025年4月24日から29日の間、ドメインukrinet[.]comスイスのIPアドレス179[.]43[.]141[.]80に解決されました。2025年4月30日、同じIPアドレスがドメインukrainnet[.]comをホストしました。これは UKR.NET と非常によく似ているため、BlueDelta のインフラストラクチャに関連している可能性があります。しかし、調査時点では、Insikt Group はこのドメインとukrinet[.]comに関連する悪意のある活動を明確に特定できませんでした。

2番目の第4層IPアドレス51[.]161[.]109[.]50は、カナダに所在し、2025年4月15日から5月15日まで活動していました。アクティブだった当時、サーバーは TCP ポート 22 で SSH を開いており、TCP ポート 35780 でカスタム HTTP サーバーを実行していました。

合計で、 Insikt Group 42 の新しい BlueDelta 認証情報収集チェーンを特定することができました。

軽減策

組織は次のアクションを通じて、このキャンペーンによるリスクを緩和できます。

• 記録された未来® Threat Intelligenceを活用する：
  • 顧客は、Recorded Futureの継続的に更新されるリスクリストを使用して、既知のBlueDeltaインフラストラクチャを特定してブロックすることができます。
  • Mocky、Byet Internet Services、ngrok、Serveo、DNS EXITにリンクされた新規登録ドメインまたはIPについて、Recorded Future Intelligence Operations Platformでアラートを有効にする
  • Recorded Future Identity Intelligenceを使用して、企業ドメインに関連する認証情報の漏洩または再利用を監視します

• 特定の保護対策を実施します。
  • 強力で一意のパスワードを適用し、ハードウェアまたはアプリベースの認証システムなどのフィッシング耐性のある方法を優先して多要素認証 (MFA) を有効にします。
  • Mocky、Byet、ngrok、Serveo、DNS EXIT など、ビジネス運営に必要のない無料ホスティングおよびトンネリング サービスを拒否リストに登録します。
  • 電子メールと Web ゲートウェイのログを監視して、アカウントの確認、パスワードのリセット、ログインの問題を参照する PDF 添付ファイルまたは埋め込みリンクを探します。
  • プロキシサービスや非標準ポート（特にngrokトンネルに関連するもの）からの認証試行を追跡する

• 一般的なベストプラクティスを採用する:
  • 偽のログインポータルやセキュリティをテーマにしたルアーに焦点を当てたフィッシング対策トレーニングを定期的に実施する
  • 定義されたエスカレーション手順、アカウントリセットプロトコル、封じ込め措置を含む、認証情報の情報漏洩/侵入に対するインシデント対応計画を維持する
  • 定期的に外部サービスの依存関係を確認し、無料または検証されていないWebサービスへの不要な露出を防ぎます。

今後の展望

BlueDelta は、低コストで匿名の Web インフラストラクチャに依存し続けながら、2025 年から 2026 年にかけて認証情報収集活動を継続する可能性があります。このグループは、情報漏洩/侵入ルーターから ngrok や Serveo などのプロキシ トンネリング サービスに移行することで適応性を実証しました。この傾向は、インフラストラクチャを隠蔽し、キャンペーン中に検知を回避しようとするため、今後も続くと予想されます。

今後のキャンペーンでは、進行中の法執行とパートナーによる削除活動の中で、運用の継続性を維持するために、無料ホスティングおよびリダイレクト プラットフォームのさらなる多様化が組み込まれる可能性があります。PDF ルアーと埋め込みリンクを一貫して使用することは、BlueDelta が自動化された電子メール防御を回避し、使い慣れたブランドに対するユーザーの信頼を利用するように設計された配信メカニズムを改良し続けることを示唆しています。

これらの作戦は、初期アクセスの取得と情報収集のための費用対効果が高くスケーラブルな方法として、GRU 関連の認証情報の盗難が依然として行われていることを浮き彫りにしています。

付録A：侵害を示す指標

Domains:
1961-51-161-109-50[.]ngrok-free[.]app
2884-51-161-109-50[.]ngrok-free[.]app
2a06-51-161-109-50[.]ngrok-free[.]app
3576-51-161-109-50[.]ngrok-free[.]app
3bb1-51-161-109-50[.]ngrok-free[.]app
5ae39a1b39d45d08f947bdf0ee0452ae[.]serveo[.]net
7dc8-51-161-109-50[.]ngrok-free[.]app
838f-51-161-109-50[.]ngrok-free[.]app
abaf-5-135-199-21[.]ngrok-free[.]app
c4cb-51-161-109-50[.]ngrok-free[.]app
dd06-51-161-109-50[.]ngrok-free[.]app
efbc-51-161-109-50[.]ngrok-free[.]app
jkbfgkjdffghh[.]linkpc[.]net
kfghjerrlknsm[.]line[.]pm
ukraine[.]html-5[.]me
ukrainesafe[.]is-great[.]org

IP Addresses:
3[.]67[.]15[.]169
5[.]135[.]199[.]21
18[.]157[.]68[.]73
51[.]161[.]109[.]50
73[.]80[.]9[.]137
179[.]43[.]141[.]80

PDF Lure Hash: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URLs:
chujdrtuityui[.]mydiscussion[.]net
doads[.]org/9f75f0rn
doads[.]org/nyj0zysx
doads[.]org/ojitcaie
doads[.]org/pyivk3q9
doads[.]org/ut3japnm
fghjdfhdzggjjdfd[.]rf[.]gd
fgjgjuyfkuuyk[.]blogspot[.]com
fgtufyiotgiyuidrti[.]blogspot[.]com
jkbfgkjdffghh[.]linkpc[.]net:10176
jkbfgkjdffghh[.]linkpc[.]net:17461
kfghjerrlknsm[.]line[.]pm:11962
kfghjerrlknsm[.]line[.]pm:15254
linkcuts[.]com/5xu034g2
linkcuts[.]com/8dejsa3x
linkcuts[.]com/gumcrr51
linkcuts[.]org/6bf4tq0y
linkcuts[.]org/9f75f0rn
linkcuts[.]org/fe6iazfp
linkcuts[.]org/nyj0zysx
linkcuts[.]org/ojitcaie
linkcuts[.]org/pyivk3q9
ln[.]run/IYNx4
run[.]mocky[.]io/v3/0e41f7c1-4ab8-4d69-a8a5-e872ba5e4096
run[.]mocky[.]io/v3/11273092-7220-4b85-b8d8-758c5fd141a2
run[.]mocky[.]io/v3/1a7c2ded-9e67-485d-a9f0-5bc8f2e42f0e
run[.]mocky[.]io/v3/1ec1c1ca-1116-4a92-82e4-7cd9e01bfe15
run[.]mocky[.]io/v3/2987b99c-a0fd-4f82-a772-f84b24e537c1
run[.]mocky[.]io/v3/2a14133a-bfe6-469d-8d96-8937b22b3d78
run[.]mocky[.]io/v3/47d78e98-8d12-452a-922b-bae56450a393
run[.]mocky[.]io/v3/4ddade26-9929-4860-9db1-b8a8945c3124
run[.]mocky[.]io/v3/4e14d583-bbf5-4af3-9a86-4c0938a7802a
run[.]mocky[.]io/v3/5b93a218-29cf-4f3e-9e52-bd605cb3791e
run[.]mocky[.]io/v3/6ba09505-fa73-4d92-b209-641bfc51b6e2
run[.]mocky[.]io/v3/72fa0a52-6e6e-43ad-b1c2-4782945d6050
run[.]mocky[.]io/v3/7832d0dc-ca6b-4b74-9d3d-604ad492a8d3
run[.]mocky[.]io/v3/8076bf0a-5c36-4d06-b12d-bfb2dc88aee4
run[.]mocky[.]io/v3/8f375df9-2633-4adc-b328-140cafaf3b06
run[.]mocky[.]io/v3/a6cadae8-c28a-428f-b4e9-dca5a4453f0b
run[.]mocky[.]io/v3/b07be5c3-8801-46a5-a395-43446dc1a797
run[.]mocky[.]io/v3/b66fd0ff-6a00-468a-b072-56e8e3457b75
run[.]mocky[.]io/v3/df8e33e0-4c17-4564-917f-9fbff17f4571
run[.]mocky[.]io/v3/e6e34194-3b33-4c91-9a46-8e3c8beaccf0
run[.]mocky[.]io/v3/f45d88b1-9d37-4485-9977-c98f16c8322b
run[.]mocky[.]io/v3/fe9b7278-d810-40b0-9716-776dbce2ee44
t[.]ly/XjLH2
tiny[.]cc/295kzz
tiny[.]cc/67lkzz
tinyurl[.]com/2hypvv9y
tinyurl[.]com/2mncfbc8
tinyurl[.]com/3swez53m
tinyurl[.]com/53dc5zxz
tinyurl[.]com/5ekbp2uv
tinyurl[.]com/5ekbp2uv
tinyurl[.]com/bddre9dp
tinyurl[.]com/k3r2vvjh
tuyt8erti867i[.]synergize[.]co
ukrainesafeurl[.]talebco[.]ir

Appendix B: MITRE ATT&CK Techniques

付録C: UKR.NET感染チェーン

付録D: BlueDeltaダイヤモンドモデル