ロシアの国家ハッカーが、少なくとも9カ国にわたる標的型フィッシングキャンペーンを実施している。これらの攻撃は、公式の政府業務を装った電子メールを通じて、機密性の高い組織データや戦略的な地政学的情報を脅かす可能性がある。このキャンペーンは、Fancy Bear(別名APT28、Forest Blizzard、Frozenlake、Sofacy Group、Strontium、UAC-028など)によって行われており、IBM X-Forceが新しい報告書でITG05として追跡している。
Fancy Bearは、アルゼンチン、ウクライナ、ジョージア、ベラルーシ、カザフスタン、ポーランド、アルメニア、アゼルバイジャン、アメリカ合衆国の組織を対象に、少なくとも11種類のユニークなルアを使用している。これらのルアは、国際政府に関連する公式文書のように見え、財政、重要インフラ、エグゼクティブエンゲージメント、サイバーセキュリティ、海上セキュリティ、医療、防衛産業生産など幅広いテーマをカバーしている。
攻撃者は、被害者を騙すために、文書の初期バージョンをぼやけた形で提示し、興味を引くためにクリックさせる心理的トリックを使用している。被害者が攻撃者が制御するサイトでルア文書をクリックすると、「Masepie」と呼ばれるPythonバックドアをダウンロードし、Windowsマシンに永続性を確立し、ファイルのダウンロードとアップロード、任意のコマンド実行を可能にする。
このキャンペーンに関連する他のマルウェアには、「Oceanmap」と「Steelhook」があり、これらはコマンド実行やデータの窃取に使用される。Fancy Bearは感染から最初の1時間以内に迅速に行動し、バックドアのダウンロード、偵察、横方向の移動を行う。
IBMは、Fancy BearのホスティングプロバイダーであるFirstCloudITによって提供されるURLを含む電子メールや、未知のサーバーへの怪しいIMAPトラフィックを監視すること、およびCVE-2024-21413、CVE-2024-21410、CVE-2023-23397、CVE-2023-35636などの脆弱性に対処することを推奨している。このキャンペーンは、ロシア政府に世界各国の政府や政治機関に関する先進的な洞察を提供することを目的としている。
【ニュース解説】
ロシアの国家ハッカーグループ、通称Fancy Bearが、世界中の少なくとも9カ国にわたり、標的型フィッシングキャンペーンを展開していることが明らかになりました。このキャンペーンでは、公式の政府業務を装った電子メールを用いて、機密性の高い組織データや戦略的な地政学的情報を狙っています。Fancy Bearは、これまでにも多くの別名(APT28、Forest Blizzard、Frozenlake、Sofacy Group、Strontium、UAC-028など)で知られ、その活動は広範囲に及んでいます。
このキャンペーンでは、アルゼンチン、ウクライナ、ジョージア、ベラルーシ、カザフスタン、ポーランド、アルメニア、アゼルバイジャン、アメリカ合衆国の組織が標的とされ、少なくとも11種類のユニークなルアが使用されています。これらのルアは、財政、重要インフラ、エグゼクティブエンゲージメント、サイバーセキュリティ、海上セキュリティ、医療、防衛産業生産など、幅広いテーマをカバーする公式文書のように見えます。
攻撃者は、文書の初期バージョンをぼやけた形で提示することで、被害者の興味を引き、クリックさせる心理的トリックを使用しています。被害者が攻撃者が制御するサイトでルア文書をクリックすると、「Masepie」と呼ばれるPythonバックドアがダウンロードされ、Windowsマシンに永続性を確立し、ファイルのダウンロードとアップロード、任意のコマンド実行を可能にします。
このキャンペーンに関連する他のマルウェアには、「Oceanmap」と「Steelhook」があり、これらはコマンド実行やデータの窃取に使用されます。特に注目すべきは、Fancy Bearが感染から最初の1時間以内に迅速に行動し、バックドアのダウンロード、偵察、横方向の移動を行う点です。
このような攻撃は、被害者組織にとって重大なセキュリティリスクをもたらします。機密情報の漏洩は、組織の信頼性を損なうだけでなく、国家安全保障にも影響を及ぼす可能性があります。また、このキャンペーンは、ロシア政府が世界各国の政府や政治機関に関する先進的な洞察を得るための手段として利用されていることが示唆されています。
このようなサイバー攻撃の増加は、国際社会におけるデジタルセキュリティの重要性を改めて浮き彫りにしています。組織や政府は、セキュリティ対策の強化、従業員の教育、脆弱性の迅速な修正など、サイバー攻撃に対する備えを常に見直し、更新する必要があります。また、国際的な協力と情報共有の強化も、このような脅威に効果的に対処するために不可欠です。
from Russian Intelligence Targets Victims Worldwide in Rapid-Fire Cyberattacks.
