ロシアからのフィッシング攻撃:約6割がウクライナに集中 – Google TAG 調査

Google: Ukraine targeted by 60% of Russian phishing attacks in 2023

2023/04/20 BleepingComputer — Google Threat Analysis Group (TAG) は、ウクライナの主要インフラを標的として 2023年に発生している、ロシアによる国家支援のサイバー攻撃を監視/妨害している。Google の報告によると、2023年1月〜3月におけるロシア発のフィッシング攻撃の約 60% は、ウクライナを狙ったものであり、最も顕著なターゲットとなっているようだ。これらのキャンペーンの大半は、情報収集とオペレーターの混乱を狙ったものだが、ウクライナに情報損害を及ぼすことに特化した、Telegram チャネルを介した機密データ流出なども含まれるという。

ウクライナで活動する脅威グループ

ウクライナのターゲットに対して、2023 Q1 に活発な攻撃を行った、3組のロシア/ベラルーシの脅威アクターを、Google TAG は追跡している。

1組目は、Google が FrozenBarents として追跡している Sandworm だ。2022年11月以降において、同グループは欧州全域のエネルギー部門に狙いを定め、Caspian Pipeline Consortium (CPC) を巻き込んだ事例などで注目されている。

CPC phishing page
CPC のフィッシング・ページ(Google)

最近の Sandworm は、Ukroboronprom を装う Web サイトを介した複数のフィッシング・キャンペーンを、ウクライナの防衛産業従事者/Ukr.net プラットフォームのユーザー/ウクライナの Telegram チャンネルに対して展開している。

Website spoofing a Ukrainian defense firm
ウクライナの防衛企業を装った Web サイト (Google)

また、同グループは、YouTube/Telegram 上で複数のオンライン・ペルソナから偽の情報を発信しており、フィッシングやネットワーク侵入により盗んだデータの一部を流出させることもある。

Telegram phishing page
Telegram のフィッシング・ページ (Google)

2組目の、非常に活発なロシアの脅威アクターは、Google が FrozenLake として追跡している APT28 だ。APT28 は 2023年2月〜3月において、ウクライナ人をターゲットにした大量のフィッシング・メールを、複数回にわたって送信している。また、ウクライナ政府の Web サイトに存在する反射型 XSS (Cross-Site Scripting) を悪用して、訪問者をフィッシング・ページにリダイレクトしていた。

Phishing page where victims land after an XSS redirection
XSS リダイレクト後に被害者がアクセスするフィッシング・ページ (Google)

今週には、英国 NCSC/FBI/NSA/CISA が、APT28 は Cisco のルーターをハッキングして、カスタム・マルウェアをインストールしていると、共同で警告している。

3組目の脅威アクターは Pushcha であり、クレムリンと政治的に連携しているベラルーシが拠点だとみられている。最近の Pushcha は、i.ua や meta.ua といったウクライナの Web メール・プロバイダーを標的としたキャンペーンを展開しており、偽サイトを立ち上げてユーザーの認証情報を盗み出そうとしている。

Fake email login site created by Pushcha
Pushcha が作成したEメールの偽ログインサイト (Google)
国費を投入した誤情報

Google のレポートは、YouTube や Blogger などのプラットフォームで誤報が発生した事例も取り上げている。

同社は、「我々は 2023 Q1 に、Internet Research Agency (IRA) に所属するアクターが、YouTube などの Google プロダクト上でコンテンツを作成し、互いの動画にコメントをつけ、また、アップボートを行うなどの、協調した IO キャンペーンを発見している」と述べている。

IRA (Glavset) は、Wagner Group のオーナーである Y. Prigozhin に関連するロシア企業であり、ロシアの政治的利益のためのオンライン・プロパガンダと影響力のあるオペレーションに従事している。

Google は、ウクライナ戦争に関する特定の “ニュースのような” 物語をロシア国内の視聴者に広めるために、YouTube Shorts でコンテンツを作成する IRA に関連したアカウントを観察し、ブロックしてきたと報告している。

このキャンペーンに関連する全ての Web サイトは、Google の “Safe Browsing” 機能のブロック・リストに追加された。影響を受けた Gmail/Workspace ユーザーには、悪意の通信を通知するアラートが送信されたという。

ウクライナとロシアの情報戦ですが、そこに Google も参戦しているようです。2023/02/17  の「ウクライナ侵攻におけるロシアのサイバー戦略:この1年の活動を時系列で整理する」も、Google のレポートがベースになっている記事です。よろしければ、Ukraine ページと合わせて、ご参照ください。

%d bloggers like this: