ロシアのスパイら、西側諸国の研究者になりすましてフィッシングキャンペーン実施 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > ロシアのスパイら、西側諸国の研究者になりすましてフィッシングキャンペーン実施

Threat Report

CyberGeopolitics-WeeklyDigest

ロシアのスパイら、西側諸国の研究者になりすましてフィッシングキャンペーン実施

山口 Tacos

山口 Tacos

2024.02.02

地政学に関わる世界の注目ニュース

 

サイバー × 地政学:ウィークリーダイジェスト

中東

–  Anonymous Collectiveがエジプト政府をハッキングしたと主張、ガザへの人道支援提供など要求

– ヨルダンで少なくとも30人のジャーナリストや弁護士、活動家らがPegasusスパイウェアの標的に

– トルコのハッカーがイスラエルの映画館を攻撃、スクリーンにガザでの虐殺を責めるメッセージ上映

 - 米政府、ISISへサイバーサービスを提供したとされるエジプト人2名を制裁対象に

 

ロシア・ウクライナ関連

 - ロシアのスパイら、西側諸国の研究者になりすましてフィッシングキャンペーン実施

 - ウクライナの捕虜管理機関にサイバー攻撃

 

アジア

 - 中国関連ハッカー、バックドア展開するキャンペーンでミャンマー国防省・外務省を標的に

 - インド関連ハッカーグループがスパイウェア用いてパキスタンを標的に

 

アフリカ

 - トーゴのジャーナリスト数人がスパイウェアPegasusの標的に

地政学に関わる世界の注目ニュース(1月28日-2月2日)

  • 資金停止で人道危機 避難の100万人を支援するガザの国連機関(毎日
  • ハマス、ガザ戦闘休止案を精査 最高指導者「真剣な協議に前向き」(時事
  • イスラエル軍、医療従事者に扮して潜入か 西岸の病院で3人射殺(AFP
  • イランのパキスタン国境付近で銃撃 パキスタン人労働者9人死亡(テレ朝ニュース
  • バイデン大統領、米軍に対する攻撃で対応決定-ヨルダン駐留兵死亡(ブルームバーグ
  • 米軍への全ての攻撃停止表明、親イラン勢力「カタイブ・ヒズボラ」(ロイター
  • ウクライナによるロシア提訴、ICJが大半を棄却(ロイター
  • ロシアとウクライナが捕虜交換 輸送機の墜落後初めて(BBC
  • 香港、国家安全条例の早期制定目指す 統制さらに強化へ(ロイター
  • 中国新疆ウイグル自治区 「中国式」イスラム教モスク義務付ける条例施行(TBS
  • 米中当局者、フェンタニル対策で協議へ 来週北京で=関係筋(ロイター
  • ASEAN外相会議 2年以上欠席続いたミャンマーが参加(NHK
  • 仏農家の抗議デモ拡大、首都への高速道路封鎖2日目に(AFP
  • 北アイルランド主要政党、貿易巡り英政府と合意 自治政府復帰へ(ロイター
  • ベトナムとフィリピン、南シナ海での沿岸警備隊の協力強化で合意(ロイター
  • 武装集団襲撃で50人超死亡 南北スーダン係争地(共同
  • ベネズエラ副大統領、米制裁強化で「関係見直す」と警告(産経

サイバー × 地政学:ウィークリーダイジェスト(1月28日-2月2日)

中東

Anonymous Collectiveがエジプト政府をハッキングしたと主張、ガザへの人道支援提供など要求

HackManac – January 30, 2024HackManac – January 31, 2024

HackManacが1月30日にX(旧Twitter)で報じたところによると、ハクティビストグループAnonymous Collectiveは同日、エジプト政府の大規模Webサイトをハッキングしたと主張したという。同グループは、エジプト政府がパレスチナ人を十分に援助しておらず、またガザへの人道支援物資の搬入を妨害していると述べ、これに対する報復として今回の行動に踏み切った旨を伝えた。また、同国政府が翌日までにパレスチナに対する方針を転換しない場合、盗み取ったとされるすべてのデータをリークすると宣言したという。

「このジェノサイドが始まって以来、エジプトは、ガザ地区と唯一国境を接する国でありながら、パレスチナの人々への支持も示さず、援助も提供してこなかった」 – Anonymous Collective

翌31日、HackManacは新たなAnonymous Collectiveの投稿を共有。同グループがエジプト税務当局のWebサイトから抜き取られたとされるデータを公開したと主張している旨を伝えた。Anonymous Collectiveの主張の真偽は不明だが、HackManacがXにこのポストを投稿した時点では、エジプト政府の複数サイト(http://cairo.gov.egやhttp://incometax.gov.egなど)がアクセス不能となっているとのこと。

ヨルダンで少なくとも30人のジャーナリストや弁護士、活動家らがPegasusスパイウェアの標的に

SecurityWeek – February 1, 2024

デジタル権利擁護団体のAccrss Nowは木曜、イスラエル製スパイウェアのPegasusが、2020年初頭から2023年11月にかけてヨルダンで少なくとも30人の携帯電話に対して使用されていたと報告。標的になった人々には、ジャーナリストや弁護士、人権活動家、政治活動家が含まれるという。

Pegasusで狙われた人々のうち16人は、ジャーナリストあるいはメディア関係者だったとされる。主な被害者としては、以下の数人が報告されている:

  • 人権NGOヒューマン・ライツ・ウォッチの中東・北アフリカ地区で副支局長を努めるAdam Coogle氏
  • ヨルダンおよびシニアを専門とするヒューマン・ライツ・ウォッチのシニアリサーチャー、Hiba Zayadin氏
  • ヨルダン国籍の人権派弁護士、Hala Ahed氏
  • パレスチナ系米国人のジャーナリスト、Dauod Kuttab氏

職員2人が被害に遭ったヒューマン・ライツ・ウォッチは、Pegasusの開発元であるNSO Groupに接触し、Coogle氏のデバイスのハッキングについての調査を求めたが、実質的な返答は得られていないと伝えた。

Accrss Nowは、今回の一連のハッキングの首謀者がヨルダン政府であるとは明言していない。ただ、過去には同政府とNSO Groupの間で行われたとされる交渉についてAxiosが報じている。当のNSO Groupは、同社が顧客の身元を確認したり否定したりすることはないと述べているとのこと。

トルコのハッカーがイスラエルの映画館を攻撃、スクリーンにガザでの虐殺を責めるメッセージ上映

Cybernews – January 26, 2024

トルコのハッカーがイスラエルの人気映画館チェーンのシステムを侵害し、ガザでの残虐行為を責め立てる内容の脅迫メッセージをスクリーンに上映したとの報道。1月23日、「MeshSec」と名乗るトルコ発のハッカー集団は広告や予告編の更新を担う外部システムへ侵入し、テルアビブ市内の映画館チェーン「Lev」のスクリーンに拙いヘブライ語で書かれた以下のようなメッセージを表示させたという。

「愚かなユダヤ人ども、お前らはみなテロリストの殺し屋だ。お前たちは臆病者だ。ガザで罪のない多くの子どもたちが命を落としたことへの責任を取ってもらうぞ。お前たちが虐殺行為をやめるまでは、たとえ映画館のような場所であっても安全だと思うなよ。我々はお前ら全員を滅ぼす。インターネットとバンキングサービスへのアクセスを制限する。神は我々と共にある」

このメッセージは既に削除されており、警察による調査が行われているとのこと。

米政府、ISISへサイバーサービスを提供したとされるエジプト人2名を制裁対象に

The Record – January 31st, 2024

米財務省は30日、ISISのメンバーにサイバーセキュリティなどに関するトレーニングを提供したとされるエジプト人2名に制裁を科したことを伝えた。両者は、軍事組織ISIS(いわゆるイスラム国)とのつながりを持つと思われるプラットフォーム「Electronic Horizons Foundation(EHF)」の黒幕であるとされる。EHFは2016年から存在し、ISISの構成員にネット上で密かに活動するためのツール(VPN等)の使い方などをレクチャーしているという。

財務省の声明によれば、今回制裁対象となったうちの1人であるMu’min Al-Mawji Mahmud Salimは、ISISの幹部にコンピューターアプリケーションに関する技術的サポートを提供し、ISISの支持者に暗号資産に関する専門知識やガイドを共有していたという。Mu’min Al-Mawjiはまた、ISISのプロパガンダを作成・配布するためのメディアをも設立したとされる。同じく制裁対象となった彼のパートナーSarah Jamal Muhammad Al-Sayyidについては、Mu’min Al-Mawjiを手伝ってメディア設立やISISメンバーの勧誘活動に携わっていた嫌疑がかけられている。

ロシア・ウクライナ関連

ロシアのスパイら、西側諸国の研究者になりすましてフィッシングキャンペーン実施

The Record – February 2nd, 2024

ロシアの諜報機関で働くハッカーらが、西側諸国の研究者になりすましてフィッシングキャンペーンを実施しているとの報道。英国のシンクタンクChatham HouseのコンサルティングフェローKeir Giles氏に送られてきたフィッシングメールやファイル、またクレデンシャルハーベスティングのインフラなどをSecureworksとMandiantが検証し、その結果をRecorded Future Newsが伝えている。

これによれば、両社とも今回のキャンペーンの首謀者は国家支援型脅威グループIron Frontier(別称Calisto、Coldriver、Star Blizzard/Seaborgium)であると考えているという。なおこのグループについて、英国政府はロシアの諜報機関の配下にあるものと評価している。

同ハッカーは研究者や学者になりすまし、学術論文に関するフィードバックが欲しいなどという口実で米国や英国、ヨーロッパの研究者などに接触するのだという。囮に使われた論文(PDF文書)には、対ロシア制裁に関する論説やウクライナの海洋安全保障戦略の草案といったものが含まれる。PDFにはぼかし加工がなされており、ぼかしを解除するためにクリックすべきボタンが配置されている。このボタンをクリックすると受信者自身のアカウントのログインページのような外観のページに飛ばされるが、これはIron Frontierがホストする偽のGoogleドライブドメインで、入力されたパスワードや2要素認証トークンはハッカーの手に渡り、その後Eメールアカウントの侵害に使われるのだという。

ウクライナの捕虜管理機関にサイバー攻撃

The Record – January 30th, 2024

戦争捕虜の問題を扱うウクライナの国家機関Coordination Headquarters for the Treatment of Prisoners of War(KSHPPV)は29日月曜、週末にかけてDDoS攻撃に襲われたのち、Webサイトへのアクセスを回復させたことを公表。また、このサイバー攻撃は先週発生したロシア輸送機墜落事件に関連して実施されたものであるとの見解も示した。実行犯はまだ特定されていないものの、KSHPPVはロシア政府の関与を指摘している。

KSHPPVは捕虜になったり行方不明になったりした軍人の家族と協力し、捕虜交換や戦死した兵士の遺体の返還交渉などを行う機関。ウクライナメディアは先週、ロシアの輸送機Il-76がウクライナ国境近くのロシアの都市ベルゴロド付近で墜落したと報じたが、この事件が今回のDDoS攻撃に関連しているというのが、KSHPPVの見解だという。同機関はTelegram上で「どうやら敵は、捕虜交換や輸送機Il-76墜落に関する情報が自身にとって脅威になると判断したようだ」と述べた。

なお、ロシア政府は墜落がウクライナ政府によるものだと指摘しており、機内には捕虜交換対象だったウクライナ人捕虜65人と乗務員6人、およびロシア兵士3人が乗っていて全員が亡くなったと主張している。一方でウクライナ政府は墜落への関与を否定も肯定もしておらず、墜落を調査する国際委員会の設置を求めている。

アジア

中国関連ハッカー、バックドア展開するキャンペーンでミャンマー国防省・外務省を標的に

The Hacker News – January 30, 2024

中国の脅威アクターMustang Pandaの関与が疑われるミャンマー国防省および外務省を狙った2件のサイバーキャンペーンについて、CSIRT-CTIが報告。1件目は2023年11月、2件目は2024年1月に実施されており、いずれも複数のバックドアやリモートアクセス型トロイの木馬の展開を目指すものだったという。

関連記事:中国のハッカーグループMustang Panda、持続的な攻撃に向けTP-Link製ルーターを悪用

Mustang Pandaは遅くとも2012年から存在するグループで、BASIN、 Camaro Dragon、Earth Preta、Stately Taurusといった呼び名も持つ。中国政府の地政学的関心に沿った活動を行うことで知られ、過去にもミャンマーに対するサイバースパイ作戦を複数回実施してきたとされる。CSIRT-CTIによれば、昨年10月にミャンマー北部で反体制派武装勢力による攻撃が実施されて以後、中国はミャンマー・中国国境周辺の交易ルートおよび安全保障への影響に関する懸念を表明しているという。

関連記事

Threat Report

Threat Report

CyberGeopolitics-WeeklyDigest

Earth Preta(Mustang Panda)の新たな回避戦術

山口 Tacos

山口 Tacos

2024.02.02

インド関連ハッカーグループがスパイウェア用いてパキスタンを標的に

The Record – February 2nd, 2024

インド政府の支援を受けていると思われるハッカーグループPatchworkが、ロマンス詐欺戦術を用いてパキスタン人の標的を騙して悪意あるアプリをインストールさせ、スパイ性能を持つマルウェア「VajraSpy」を配布しているとの調査結果をESETが報告。

Patchworkはこのスパイウェアキャンペーンにおいて、まず正規のアプリを使ってターゲットを性的・恋愛的に誘惑し、その後会話の場を別のメッセージアプリに移そうと提案する。しかしこれは同グループが作成した有害なアプリで、ターゲットをVajraSpyに感染させる。Patchworkによって作成され、Google Playなどのプラットフォーム上で配布された悪意あるアプリは少なくとも12種類に上り、Googleによって削除されるまでの間に1,400回以上ダウンロードされたという。

こうしたアプリによってインストールされるVajraSpyは過去にもパキスタンの軍関係者のデバイスに展開されていたカスタムマルウェアで、連絡先情報やSMSメッセージ、通話ログ、デバイスの位置情報、インストール済みアプリのリスト、また特定拡張子を持つファイルを盗み取る性能を持つとされる。

なお、Patchworkは2015年12月から活動するグループで、パキスタンに対するフィッシング攻撃を実施してきた背景を持つことがMalwarebytesにより報告されている。

アフリカ

トーゴのジャーナリスト数人がスパイウェアPegasusの標的に

DarkReading – January 26, 2024

トーゴのジャーナリスト複数名の携帯電話に、悪名高いスパイウェア「Pegasus」がインストールされていたとの報道。国境なき記者団によればトーゴ政府は2021年までPegasusを使用しており、同国の独立系週刊誌「Flambeau des Démocrates」の発行人Loïc Lawson氏の電話機には、2021年2月1日〜7月10日の間に少なくとも23回スパイウェアが侵入した形跡があるという。Lawson氏のほか、フリージャーナリストのAnani Sossou氏やFerdinand Ayité氏、Luc Abaki氏、Carlos Ketohou氏などもPegasusの標的になったとされる。

Pegasusはイスラエル企業「NSO Group」の製品で、感染した携帯電話からさまざまな情報を抜き取ったり、メッセージやEメール、ファイル、パスワード、位置情報などを転送・傍受したりできるマルウェア。これまでにもジャーナリストや政治家などの監視に利用されてきた。

関連記事

Threat Report

Threat Report

CyberGeopolitics-WeeklyDigest

在外ロシアメディアのジャーナリストがスパイウェアPegasusの標的に

山口 Tacos

山口 Tacos

2024.02.02

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ