ロシアのAPTグループがウクライナへのサイバー攻撃を強化

ウクライナでの戦争が衰退し、今日の停戦の取り決めと民間人を安全に避難させるための努力により、サイバースペースでの紛争は依然として激しさを増しています。 Googleの脅威分析グループの報告によると、ロシア政府を支援する2つのAPTがウクライナの標的を攻撃しており、1つの中国の衣装が現在の状況を利用してヨーロッパの標的を攻撃しています。

ロシアと中国のAPTはウクライナ、ヨーロッパをターゲットにしています

グーグルがウクライナの標的に対する現在のサイバー攻撃の先頭に立っていると強調している2つの親ロシアの実体は、APT28としても知られるファンシーベアと、2021年後半にベラルーシとリンクしたアクティブな持続的脅威グループであるゴーストライターです。

グーグルはまた呼ばれるAPTの活動の上昇を報告しています中国の俳優とリンクしているムスタングパンダ。中国の衣装は現在、ヨーロッパに拠点を置くエンティティをターゲットにしており、ヨーロッパの多くの国で進行中の紛争と難民の流入に関連するフィッシングルアーを使用しています。

親ロシアのAPTによって開始されたフィッシング攻撃は、以前に侵害された電子メールアドレスを使用し、潜在的な被害者をAPTによって制御されるページにリダイレクトします。これは主に標準的なフィッシング手順です。 Googleは、Ghostwriterがウクライナとポーランドの軍隊と政府機関の両方に対してフィッシングキャンペーンを開始していることを発見しました。

Googleは、クレデンシャルフィッシングに使用される多くのドメインがGoogleの「安全なブラウジング」機能によってすでにブロックされていると報告しました。ドメインには、「i dotua-passportdottop」や「logindotcredentials-emaildotspace」などの変わった名前が含まれていました。

ムスタングパンダは現在の難民の状況を利用しています

一方、中国のムスタングパンダはヨーロッパの実体にフィッシング詐欺を送り、ある種の重要な情報や緊急性を示唆する名前の付いた悪意のあるファイルを電子メールに添付しています。 Googleのレポートには、「EUの状況はUkraine.zipと国境を接している」などのファイル名の添付ファイルが記載されています。添付ファイルには、最終ペイロードのダウンローダーとして機能する実行可能ファイルが含まれます。

Googleの脅威分析グループはすでに必要な取り決めを行っており、フィッシングキャンペーンの対象となる国のすべてのエンティティと当局に通知しています。