EMEA / APAC の政府をターゲットにした大規模フィッシング・キャンペーンとは?

Large phishing campaign targets EMEA and APAC governments

2021/09/20 SecurityAffairs — サイバーセキュリティ企業 Cyjax の研究者たちが、APAC および EMEA 諸国の複数の政府機関を対象とした、大規模なフィッシング・キャンペーンを発見した。このフィッシング・キャンペーンは、ドメインが現在のホストに移管された、2020年春から継続して行われていた。

発見時、専門家は 15個のフィッシング・ページがまだ有効であり、キルギス/ベラルーシ/グルジア/トルクメニスタン/ウクライナ/ウズベキスタン/パキスタンの政府を標的にしていると指摘している。

研究者たちは、「このキャンペーンのドメインは、”mail.” で始まることが多く、標的となった政府部門の実際のドメインが、攻撃者のドメイン上のホスト名として含まれているケースが多い」と述べている。このキャンペーンにおいて、攻撃者が登録したドメインは5つだけであり、Tucows または PublicDomainRegistry を介して、OVHSAS または VDSINA を用いてサイトをホストしていた。

フィッシング・ページは、標的となった国々の、エネルギー省/財務省/外務省などの省庁の、正規のサイトを装って作成されていた。また、パキスタン海軍/ウクライナ情報局/メールサービス「Mail.ru」を装ったページもあった。主な標的は外務省が、それらのドメインの 4分の1を占めている。

専門家は、このキャンペーンの主な標的は、ベラルーシ/ウクライナ/ウズベキスタンであると推測している。なぜなら、これらの国々を標的とした、フィッシング・ページの数が多いからである。ターゲットの性質と攻撃者の TTP から、このフィッシング・キャンペーンは、国家支援レベルの脅威アクターにより仕組まれたと考えられる。

標的とされたのは、ロシアの衛星国またはロシア自身であるが、これらの国々では通常、地元の警察が対応するため、サイバー犯罪グループに狙われることはないと、専門家たちは推測している。OVH の IP アドレスの1つである(145.239.23.7)を分析した結果、COVID-19 パンデミックの際に、Sandworm がウクライナに対して行った、Operation TrickyMouse との関連性が示唆された。

専門家たちは、「今回の標的は、国家を代表して活動する、高度持続性脅威 (APT) の仕業の可能性がある。しかし、アンダーグラウンドなフォーラムで、アクセス・ブローカーとしての役割を果たすことを目的とした、サイバー犯罪キャンペーンの可能性もある。しかし、標的とされた国々多くは、ロシアの衛星国やロシアそのものであり、地元の法執行機関からの注目を避けるために、サイバー犯罪者たちは標的としない国である。ターゲットが絞り込まれ、すぐに金銭的利益が得られないことを考慮すると、この活動は国家が支援する APT キャンペーンに近いと考えられる」と分析している。

フィッシングというテーマで忘れられないのが、「フィッシングに遭った夫婦が犯人を追跡:莫大な仮想通貨の在処を見つけたが」というポストです。被害者の心理が解る、とても良い記事だと思います。また、「ビジネスメール詐欺 (BEC) を阻止するためのベスト・プラクティスとは?」と、「BEC 被害:米金融サービス8社の不適切な対応に高額の制裁金」も、いろんな意味で参考になります。

%d bloggers like this: