ウクライナ軍部を狙うフィッシング・キャンペーン:ベラルーシ当局によるものと判明

Ukraine links phishing targeting military to Belarusian hackers

20222/02/25 BleepingComputer — 今日、ウクライナの Computer Emergency Response Team of Ukraine (CERT-UA) は、ウクライナ軍関係者の個人用電子メールアカウントを標的とした、スピアフィッシング・キャンペーンについて警告を発した。これらの攻撃で漏洩したアカウントは、その後も、被害者のアドレス帳の連絡先へ向けて、さらなるフィッシング・メッセージを送信するために使用される。

フィッシング・メールは2つのドメイン(i[.]ua-passport[.]space と id[.]bigmir[.]space)から送信されており、前者に関しては 2008年からウクライナ人にメール・サービスを提供している、無料インターネット・ポータル i.ua に成りすまそうとしている。

今日、CERT-UA は、「最近、ウクライナの軍人や関係者の、プライベートな [i.ua] や [meta.ua] アカウントを狙った、大量のフィッシング・メールが確認されている」と述べている。

同組織は、「アカウントの侵害に成功した攻撃者は、IMAP プロトコルを介して、すべてのメッセージにアクセスできる。攻撃者は、被害者のアドレス帳に含まれる詳細な連絡先を用いて、フィッシング・メールを送信する。このフィッシング・メールで送られる偽メッセージは、標的の連絡先情報を確認するものであり、電子メール・アカウントが停止されるのを避けるためには、埋め込まれたリンクをクリックが必要だと要求する」と述べている。

ベラルーシのハッカー集団に関連する攻撃

CERT-UA のレポートによると、この進行中のフィッシング・キャンペーンは、2021年11月に Mandiant の研究者たちが、ベラルーシ政府との強い結びつきを指摘した、UNC1151 脅威グループによるものとされる。

また、Mandiant は、UNC1151 のオペレーターとベラルーシ軍とのつながりを裏付ける証拠を発見し、この攻撃者が実際には軍のサイバー・スパイであり、ベラルーシ国防省の将校であるという、CERT-UA の推察を証明している。

CERT-UA は、「これらの活動の背後には、ミンスクに拠点を置くグループ UNC1151 がいる。そのメンバーは、ベラルーシ共和国国防省の将校である」と付け加えている。

本日、ウクライナの State Service of Special Communications and Information Protection (SSSCIP) も、ウクライナ国民を標的とした悪質なフィッシング・キャンペーンが活発に行われていると警告している。SSSCIP は、「敵対勢力は、ウクライナ人の電子機器にアクセスし、大量の情報を収集することを目的としている」と述べている。

スロバキアのインターネット・セキュリティ企業 ESET が発表した別の警告によると、サイバー犯罪者たちは人道支援組織になりすまし、木曜日の朝にロシアの侵攻により始まった戦争が続く、ウクライナを支援することを目的とした組織に寄付する人々を、騙す試みも行っているとのことだ。

ハイブリッド戦争キャンペーンの一環としてのサイバー攻撃

このような動きは、マルウェアHermeticWiper と、ランサムウェアのデコイを使用して、ウクライナのネットワークを侵害し、ターゲットのデバイスのデータを破壊し起動不能にする、データワイパー攻撃が行われたことが発端となっている。

Symantec Threat Intelligence の Technical Director である Vikram Thakur が、BleepingComputer に語ったところによると、今週のワイパー攻撃で攻撃を受けたターゲットには、ラトビアやリトアニアの金融/政府の請負業者も含まれていたとのことだ。

ウクライナの組織がデータ・ワイパーに襲われたのは、ランサムウェアを装った 2022年1月の攻撃で、破壊的なマルウェア WhisperGate が展開されて以来のものとなる。この、2月にウクライナのネットワークを襲った DDoS 攻撃とマルウェア攻撃は、ちょうど1週間前にウクライナの Security Service (SSU) が、「ハイブリッド戦争の大規模な波 に狙われている」と述べたことに符合する。

フィッシングでアカウントを侵害した後に、偽メールで混乱を生じさせるという戦術は、いまのウクライナのような戦闘状態においてもというより、むしろ戦闘状態にだからこそ、有効なのかもしれません。なお、ベラルーシに関しては、1月24日の「ベラルーシの反体制ハッカー・グループが、国営鉄道 Belarusian Railway のシステムを暗号化」にあるように、今回のウクライナ侵攻に否が応でも巻き込まれ、また、関与している状態だと推測されます。→ Ukraine まとめページ

%d bloggers like this: