ロシア政府支援のハッキンググループがウクライナおよび周辺地域に対して実行しているサイバー攻撃について、GoogleのThreat Analysis Group(脅威分析グループ:TAG)が警告しています。
An update on the threat landscape
https://blog.google/threat-analysis-group/update-threat-landscape-ukraine/
ロシアによるウクライナ侵攻が始まって以来、ウクライナとその周辺地域の人々にとってオンラインセキュリティはかつてないほど重要なものとなっています。政府機関や独立系の報道機関、公共サービスプロバイダーは正しく機能するために、個人は安全な通信を確立するためにセキュリティを必要としています。GoogleのTAGは、ユーザーの安全とセキュリティを確立し、ユーザーが重要な情報にアクセスして共有するのに役立つプラットフォームに重点を置き、24時間体制で取り組んでいるとのこと。
TAGはウクライナ周辺で暗躍する脅威アクターに対して行動を起こすための長年の努力を続けており、過去12カ月でウクライナユーザーに対して実行される数百件以上の政府支援攻撃の存在を警告してきました。この政府支援攻撃は主にロシア発のものです。
過去2週間にわたり、TAGは「ファンシーベア」や「Ghostwriter」といった脅威アクターの活動を監視してきたとのこと。これらの脅威アクターはスパイ活動からフィッシングまで多岐にわたるサイバー攻撃を繰り広げてきたそうです。
ファンシーベアはロシア政府の情報機関であるロシア連邦軍参謀本部情報総局(GRU)と関連を持つ脅威アクターであると知られており、ukr.netのユーザーを対象にいくつかの大規模なクレデンシャルフィッシング攻撃を実施しています。ukr.netはウクライナのメディア企業で、フィッシングメールは侵害された多数のアカウント(Gmailアカウント以外)から送信され、攻撃者が保有するドメインへのリンクが含まれているとのこと。
クレデンシャルフィッシング攻撃に利用されているウェブページのひとつが以下。実際にクレデンシャルフィッシング攻撃に使用されたドメインは「id-unconfirmeduser.frge.io」「hatdfg-rhgreh684.frge.io「ua-consumerpanel.frge.io」「onsumerspanel.frge.io」などです。
もうひとつの脅威アクターであるGhostwriterは、過去1週間でポーランド・ウクライナの政府および軍事組織に対してクレデンシャルフィッシング攻撃を実施しています。この攻撃は「i.ua」「meta.ua」「rambler.ru」「ukr.net」「wp.pl」「yandex.ru」といったメールプロバイダーのユーザーを対象としている模様。なお、Ghostwriterによるクレデンシャルフィッシング攻撃に使用されているドメインは「accounts.secure-ua.website」「i.ua-passport.top」「login.creditals-email.space」「post.mil-gov.space」「verify.rambler-profile.site」の5つ。
なお、これらのドメインはGoogleセーフブラウジングによりブロックされています。
さらに、中国を拠点とする脅威アクターの「MustangPanda」も、ロシアによるウクライナ侵攻に関連する形でヨーロッパの組織を対象としたサイバー攻撃を実行しています。TAGによると、MustangPandaは「Situation at the EU borders with Ukraine.zip」というファイル名を持つ添付ファイルを利用して攻撃を実施。このファイルには同名の実行ファイルが含まれており、これが実行されると最終的なペイロードをロードするための複数の追加ファイルがダウンロードされます。なお、TAGによるとMustangPandaは元は東南アジアで暗躍していた脅威アクターだそうです。
この他、ウクライナのウェブサイトを対象としたDDoS攻撃が検出され続けているとして、TAGはウクライナ政府のウェブサイトや世界中の大使館、紛争地域周辺の政府サイトがオンライン状態を維持し、自らを保護できるように、DDoS攻撃に対する無料の保護ツールであるProject Shieldのカバー範囲を拡大したと発表しています。TAGによると多くの報道機関を含むウクライナの150を超えるウェブサイトがProject Shieldを利用しているとのことで、対象となるすべての組織がProject Shieldに登録することを推奨しています。
この記事のタイトルとURLをコピーする