欧州各政府へ向けた偽メール:ハッキングされたウクライナ軍人のアカウントが使われている

Hacked Ukrainian Military Emails Used in Attacks on European Governments

2022/03/03 SecurityWeek — ヨーロッパ各政府機関の職員が、ウクライナ軍の関係者のメール・アカウントを装った、悪質な偽メールを受け取っていることが判明した。ロシアとウクライナの戦争は、現実世界とサイバー空間の双方で行われており、国家が支援するハッカーとハクティビストの間でも戦いが発生している。また、ネットワークを介した戦いでは、分散型サービス妨害 (DDoS) 攻撃/マルウェア/データ侵害/フェイク情報などの、さまざまな戦術やツールが用いられている。

ロシアによる侵攻が開始された直後にウクライナ政府は、同国の軍人や関係者のメール・アドレスへ向けてフィッシング・メールが送信されたことを警告した。この攻撃は、ベラルーシやロシアとの関係があり、偽情報キャンペーンを専門とする、脅威アクター UNC1151 の仕業だとされている。

この脅威グループを TA445 として追跡している、サイバー・セキュリティ企業の Proofpoint は、ウクライナ難民の管理に関与する欧州政府関係者のメール・アカウントへ向けて、ウクライナ軍関係者の侵害された可能性のあるメール・アカウントから、悪意のメールを送信されていることを確認したと、水曜日に報告している。

Proofpoint は、決定的な証拠こそ発見していないが、このキャンペーンのタイミングと目的から、欧州の関係者に送られたメールは、ウクライナ政府が警告したフィッシング攻撃の、次のステップである可能性が示唆される。

ヨーロッパの政府関係者に送られたメールは、最近に開催された NATO 安全保障理事会の緊急会合に言及するものだった。このメッセージには、SunSeed と名付けられたマルウェアを配信するマクロ対応の XLS ファイルが含まれていた。このマルウェアは、感染させたデバイスに追加の悪意のあるペイロードを、攻撃者が配信するために使用するダウンローダーである可能性が高いとされる。

この、Proofpoint が Asylum Ambuscade として追跡しているキャンペーンは、ウクライナからの難民が移動する際の情報、および、危機管理のためにヨーロッパが使用する資金/物資/ロジスティックスの詳細を、収集することが目的であると考えられる。

Proofpoint はブログの中で、「標的となった人物は、さまざまな専門知識や職業上の責任を持っている。さらに言うなら、欧州内の輸送/財政/予算配分/行政/人員移動に関連する職責を持つ、個人を標的とする傾向が明らかに見られる」と述べている。

ウクライナの IT Army は、ロシアが侵攻を開始した直後に創設され、現在およそ26万人のメンバーを数えている。CyberKnow というオンライン・ネームで活動する人物が、ロシアとウクライナを支援する様々なハッカー集団のリストを作成し、現時点で 30以上のグループがリストアップされている。

WordPress 傘下のセキュリティ企業である Defiant によると、紛争が始まって以来、ウクライナの数十の大学 Web サイトがハッキングされたという。当然のことながら、利益を追求するサイバー犯罪者も、この紛争に便乗しようとしている。フィッシング対策プロバイダーの Cofense は、データを盗み、ユーザーを騙すことを目的とした、いくつかのスパム・キャンペーンを目撃したと報告している。

2月25日に「ウクライナ軍部を狙うフィッシング・キャンペーン:ベラルーシ当局によるものと判明」という記事がありました。この記事には「CERT-UA のレポートによると、この進行中のフィッシング・キャンペーンは、2021年11月に Mandiant の研究者たちが、ベラルーシ政府との強い結びつきを指摘した、UNC1151 脅威グループによるものとされる」や、「Mandiant は、UNC1151 のオペレーターとベラルーシ軍とのつながりを裏付ける証拠を発見し、この攻撃者が実際には軍のサイバー・スパイであり、ベラルーシ国防省の将校であるという、CERT-UA の推察を証明している」といった記載がありました。

%d bloggers like this: