MicrosoftのセキュリティチームであるMicrosoft Threat Intelligenceが、ロシア政府の支援を受けたサイバースパイ集団「Secret Blizzard(シークレット・ブリザード)」がモスクワにある各国大使館を攻撃するため、インターネットサービスプロバイダ(ISP)を利用する中間者攻撃を仕掛けていると報告しました。Frozen in transit: Secret Blizzard’s AiTM campaign against diplomats | Microsoft Security Blog

https://www.microsoft.com/en-us/security/blog/2025/07/31/frozen-in-transit-secret-blizzards-aitm-campaign-against-diplomats/Microsoft: Kremlin monitors foreign embassies in Moscow through cyber-espionage at ISP level | The Record from Recorded Future Newshttps://therecord.media/russia-fsb-turla-espionage-foreign-embassies-isp-levelMicrosoft catches Russian hackers targeting foreign embassies - Ars Technicahttps://arstechnica.com/information-technology/2025/07/microsoft-catches-russian-hackers-targeting-foreign-embassies/Secret Blizzardは世界で最も活発な国家支援型のハッカーグループのひとつで、少なくとも1996年からロシア連邦保安庁傘下の組織として活動しています。今回Microsoftは、このSecret Blizzardがモスクワにある各国大使館のデバイスを標的に、ロシア国内のISPを利用した中間者攻撃を仕掛けていると報告しました。今回確認された中間者攻撃の目的は、ターゲットのデバイスに「ApolloShadow」と呼ばれるカスタムマルウェアをインストールすることにあります。ApolloShadowは感染したデバイスにTLSルート証明書をインストールし、悪意のあるウェブサイトを既知の信頼できるウェブサイトに偽装するとのこと。Microsoftが確認した中間者攻撃の手法は以下の通り。・Secret BlizzardがISPを利用して、ターゲットのデバイスをインターネットアクセスの試行時に表示されるキャプティブポータルにリダイレクトする。・ユーザーをSecret Blizzardが管理する別のドメインに誘導する。・ドメイン上で証明書検証エラーを表示し、ユーザーのデバイスにApolloShadowをインストールするように促す。・ApolloShadowがルート証明書をインストールするシステム権限があるかどうかを確認する。・デバイスがデフォルトの管理設定で実行されていないことを確認すると、ポップアップを表示してCertificateDB.exeというファイル名の証明書のインストールを促す。・CertificateDB.exeがKasperskyインストーラーを装ってルート証明書をインストールし、Secret Blizzardがシステム内で権限昇格を実行する。ApolloShadowは権限昇格の実行後、ファイル共有を可能にするためにファイアウォールのルールを緩和するなど、デバイスのネットワークに複数の変更を加えるとのこと。MicrosoftはSecret Blizzardによる直接的な侵害範囲の拡大(ラテラルムーブメント)は確認していないものの、これらの変更はラテラルムーブメントの難易度を下げることにあると考えています。Microsoftによると、Secret BlizzardがISPレベルのサイバースパイ活動を行っていることが確認できたのは今回が初だとのこと。Microsoftは「これは、ロシア国内のISPまたは通信サービスを利用する外交官が、これらのサービスにおけるSecret Blizzardの中間者攻撃の標的になる可能性が非常に高いことを意味しています」と述べました。今回確認された中間者攻撃は、ロシア国内のISPを利用している組織に重大なリスクをもたらします。Microsoftはロシア国内で活動する組織に対し、トラフィックをトンネリングして信頼できるISPに接続するか、衛星インターネットなどの代替プロバイダを利用するようにアドバイスしました。