Recorded Futureは12月5日(米国時間)、「Exposing TAG-53’s Credential Harvesting Infrastructure Used for Russia-Aligned Espionage Operations」において、ロシアのサイバー攻撃うグループが展開しているクレデンシャルハーベスティングのインフラについて伝えた。これは、ロシア国家にひもづくサイバー攻撃者グループ「TAG-53」が活用しているインフラとみられている。

2022年7月からTAG-53が認証情報を窃取するために、クレデンシャルハーベスティングのインフラを繰り返し利用していることが明らかとなった。新たに発見されたこのインフラは、これまでロシアの国家的利益に合致した活動に関与したとされるCallisto Group、COLDRIVER、SEABORGIUMに起因する他のインフラの戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)と重複している可能性があると分析されている。

このインフラでは38のドメインが発見されており、それらのうち9つのドメインに潜在的なターゲット組織またはTAG-53が偽装しようとしている組織が含まれているという。標的または偽造対象の可能性のある組織は次のとおり。

  • UMO Poland
  • Global Ordnance
  • Sangrail LTD
  • DTGruelle
  • The Commission for International Justice and Accountability (CIJA)
  • Blue Sky Network
  • The Ministry of Internal Affairs of the Russian Federation (MVD)
  • TAG-53 Global Ordnance spoofed sign-in page

    TAG-53 Global Ordnance spoofed sign-in page

これらのインフラの中には、米国に拠点を置く軍事兵器およびハードウェアサプライヤーであるGlobal Ordnanceを装った偽のログインページが発見されており、すでに一部運用されていることがわかった。このなりすましページはフィッシングに使われている可能性があると考えられている。