ロシア、AndroidとWindows向けのマルウェアでウクライナ軍の新兵勧誘活動を標的に Googleが発表
SecurityWeek – October 28, 2024
Googleの報告によると、ロシアがウクライナ軍の新兵勧誘活動を狙ったサイバースパイ活動と影響力行使キャンペーンを展開しているという。
UNC5812として追跡されているこのハイブリッド活動の一環として、Telegram上でCivil Defenseを名乗る人物がウクライナ軍の勧誘活動に関連した無料ソフトウェアを配布しており、これが実際にはプラットフォーム特化型マルウェアだったことが判明した。Google Play Protectが有効になっていないAndroidデバイスでは、このソフトでコモディティ型マルウェアと囮のマッピングアプリがインストールされるようだ。Googleは、被害者にAndroidバックドア「CraxsRat」と「SunSpinner」マルウェアが配布されていることを確認している。
一方、Windowsユーザーにはマルウェアダウンローダー「Pronsis Loader」が配布され、これがSunSpinnerとインフォスティーラー「PureStearler」の巧妙な感染チェーンを開始する。Googleの見解によると、UNC5812はTelegramにおけるウクライナ語の複数正規チャンネル内で有料のPR投稿をいくつかポストしており、9月と10月に少なくとも2つのチャンネルでCivil Defenseが宣伝されているとのこと。その目的は被害者をCivil DefenseのWebサイトに誘導することで、同サイトではさまざまなOS向けのソフトウェアプログラムが多数宣伝されているほか、ウクライナ軍の信用失墜を狙った活動が行われているという。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠