ロシアハッカー「Fancy Bear」によるウクライナ政府や軍事組織狙った新たなフィッシングキャンペーンが発覚
ロシアの軍事サイバーグループ「Fancy Bear」によるものと思われる、ウクライナの政府組織や軍事航空関連の企業を狙った新たなスピアフィッシングキャンペーンについて、ウクライナのサイバー機関(CERT-UA)とRecorded FutureのInsikt Groupが報告した。研究者らは、このキャンペーンは遅くとも2021年11月から行われていると述べている。
フィッシングキャンペーンの詳細
攻撃者
CERT-UAとInsikt Groupの研究者らは、このキャンペーンはFancy Bear(別称APT28、BlueDeltaなど)によるものだと考えている。なおFancy Bearは、ロシア連邦軍参謀本部情報総局(GRU)によって運営されていると考えられているサイバースパイグループ。
標的
この新たなキャンペーンは、ウクライナの地方検察庁、行政機関やその他の政府関連組織に加え、軍用機のインフラ整備・改修に携わる組織を狙ったものだとされる。研究者らによると、フィッシングメールは40以上の組織に送られていたという。
フィッシングルアー
このキャンペーンでは、ロシアによるウクライナ侵攻についてのニュースが、被害者を騙すためのルアーとして使用された。例えばあるケースでは、「ukraine_news@meta[.]ua」というメールアドレスを使ってフィッシングメールが送信されていたという。
メールサーバー侵害の手口とRoundcube Webmailの脆弱性の悪用(CVE-2020-35730、CVE-2020-1264、CVE-2021-44026)
ニュースに見せかけたフィッシングメールが受信者によって開かれると、たとえ受信者が添付されていたファイルに触れなかったとしても、侵害がすぐに始まってしまう。このメールに含まれる悪意あるJavaScriptファイルは、オープンソースのWebメールソフトウェアRoundcube Webmailにおけるクロスサイトスクリプティングの脆弱性CVE-2020-35730を悪用し、さらに2件のJavaScriptペイロードを実行する。これらのスクリプトは、感染以後に被害者が受信するEメールを攻撃者が管理するメールアドレスへリダイレクトすることができるほか、セッションクッキーやユーザー情報、連絡先情報を抜き取ることもできるとされる。
攻撃者の目的
Insikt Groupは、Fancy Bearによるこのキャンペーンの目的は、おそらくロシアの侵攻を支援するための軍事関連インテリジェンスの収集を可能にすることだろうと評価している。
Fancy Bearによる別のキャンペーンとの重複
Insikt Groupによると、今回のキャンペーンには、2022年4月中旬から12月にかけて同グループによって行われた別のキャンペーンと重複する点がみられるという。2022年のキャンペーンはMicrosoft Outlookのゼロデイ脆弱性CVE-2023-23397を悪用し、ヨーロッパ組織から認証情報などを盗み取ろうとするものだった。このキャンペーンで使用された(GRUが所有するものと思われる)IPアドレスはRoundcubeを悪用するキャンペーンでも使われていたのだという。
今回発覚したフィッシングキャンペーンは氷山の一角か
ウクライナ国家特殊通信・情報保護局(SSSCIP)は今年4月に発表されたレポートにおいて、ロシアによるハッキングの目的が、大規模な攻撃によってシステムの破壊を目指すことから、スパイ攻撃やデータ窃取などによって情報を収集することへと変化していると指摘していた。この指摘を反映するように、ウクライナを狙ったロシア関連のアクターによるフィッシングキャンペーンはここ数か月間で激化しているとみられる。GoogleのThreat Analysis Groupによれば、2023年第1四半期に送信されたウクライナを狙うフィッシングメールの約60%はロシアの攻撃者によって送信されていたという。CERT-UAが月曜にも別のフィッシングキャンペーンについて報告していたことからも伺えるように、今回発覚したFancy Bearによるキャンペーンはロシアによるウクライナへの多数のフィッシング攻撃の氷山の一角なのかもしれない。
(情報源:The Record “Russia’s ‘Fancy Bear’ hackers targeted Ukrainian gov’t, military orgs”、GovInfoSecurity ”Ukraine Tracks Multiple Spear Phishing Campaigns From Russia”、BleepingComputer ”Russian APT28 hackers breach Ukrainian govt email servers”)