出典: DC Studio via Shutterstock
サイバー作戦が地域紛争を支援し続ける中、脅威グループはより広範な情報をターゲットにしており、敵資産の位置特定やライバルの情報機能に関する情報収集に使用できる地理空間マッピングとグローバルポジショニングシステム(GPS)データを含んでいると、サイバーセキュリティ企業は警告しています。
あるサイバースパイ集団は、特別に作成されたフィッシングキャンペーンと不正広告キャンペーンを使用して、正規の航空ソフトウェアおよびリソースのインストーラーであるように見える、マルウェアをホストするドメインとサイトを作成することで、航空宇宙企業とドローンオペレーターをターゲットにしていると、Kaspersky Labが述べています。HeartlessSoulという名前のこのグループは、正規のダウンロードサービスであるSourceForgeに偽のプロジェクトを植え込み、悪意のあるアーカイブのダウンロードをもたらしました。
このグループの最終的な目標は、現在主にロシア政府と企業に属する侵害されたシステムから地理空間データと情報を収集することであると、Kaspersky LabはDark Readingに伝えています。
“[T]このアクターは洗練されたものです:複合段階感染、ファイルレス実行、およびグループがターゲットとするデータは、それが単なるハクティビストまたは犯罪グループではなく、組織に深刻な脅威をもたらす動機のあるグループであることを確認しています。”とサイバーセキュリティ企業は回答で述べました。
いくつかの進行中の地域軍事紛争とグローバルナビゲーション衛星システム(GNSS)への干渉の増加により、地理空間データはいくつかの脅威グループにとってより一般的な、あるいは人気のあるターゲットになりました。例えば2024年には、サイバー犯罪ハッカーIntelBrokerがSpace-Eyesに侵害したと主張していましたが、マイアミを拠点とする地理空間インテリジェンス企業ですが、分析家はハッカーの一部の主張された悪用に疑いを投げかけています。後にイギリス国籍のKai Westとして特定されたIntelBrokerは2025年6月に逮捕されました。
スパイキャンペーンは高度な兆候を示し、脅威インテリジェンス企業Team CymruのプロダクトヘッドであるWill Baxterの懸念と一致しています。
“GIS、ドローン、航空データのターゲッティングは、インテリジェンス収集または防衛指向の角度を指し、ロジスティクス障害、インフラストラクチャマッピング、資産移動追跡、および作戦計画にわたる下流値を持っています。”と彼は言います。”GIS盗難における最も過小評価されている価値は作戦的な地上真実です – 敵は被害者の自身の分析家が地形、インフラストラクチャ、ルートについて何を信じるかを正確に見て、被害者の自身の認識のギャップをモデル化できるようになります。”
ハッカーが地理空間ファイルと隠されたコマンドを盗む
攻撃者がGIS分析に使用されるデータベースとワークステーションにアクセスすると、HeartlessSoulはさまざまな一般的なドキュメントタイプをダウンロードしますが、GPSデータ、地理情報システム(GIS)シェープファイル、デジタル地形救済ファイル、一部の独自のGISマッピングファイルなどのいくつかのかなり珍しいタイプも含んでいます。Kaspersky Labはレポートで述べました(ロシア語)。
“このようなGISファイル…インフラストラクチャ(道路、エンジニアリングネットワーク、地形、および戦略的な物体)に関する情報を取得でき、エンジニアリング、国家および産業組織の機密データを提供します。”と同社は分析で述べました(Google翻訳)。
攻撃者はシステムを侵害する取り組みで、JavaScriptリモートアクセストロイの木馬(RAT)やPowerShellスクリプトなど、一般的なタスクを実行するためにさまざまな一般的なテクニックを使用しました。使用された悪意のあるLNKファイルの一部はWindowsショートカット悪用(ZDI-CAN-25373)を使用しましたで、高度な持続的な脅威(APT)キャンペーンで人気になっています。
Kaspersky Labは少なくとも2月以来、侵害されたコマンドアンドコントロールインフラストラクチャを通じてこのグループを監視しています。同社はグループの最初のアクティビティを少なくとも2025年9月までさかのぼりました。
航空攻撃の帰属は不確実なままです
HeartlessSoulと一致するグループを特定した西部サイバーセキュリティベンダーはありませんが、他の2つのロシアサイバーセキュリティ企業(Positive TechnologiesとBI.ZONE)が脅威グループを文書化しており、後者はグループにVersatile Werewolfという名前を付けています。他の2つの脅威グループであるPaper WerewolfとEagle Werewolfも、Telegramなどのドローンに焦点を当てたフォーラムとチャットチャネル、および制限をバイパスしようとしているロシア市民をターゲットにしています Starlink デバイス、BI.ZONE分析によると。
3つの企業のいずれも公開的に攻撃を帰属させていません。Paper Werewolf、GOFFEEとしても知られているは、ウクライナ支持グループにリンクしていると思われ、最初にロシア防衛請負業者をターゲットにしていました。BI.ZONEは、3つのグループが同様の名前が与えられており、同様のテクニックを採用していますが、自律的に動作しているようであると指摘しました。
Baxterは、ディフェンダーは実用的な対応を行い、攻撃者の兆候を探し、作戦上のセキュリティ障害を見つけることに焦点を当てるべきであると述べています。
さらに、GISデータを使用する企業と機関は、アイデンティティ境界ベースのアクセスとエグレス監視のようなゼロトラストセキュリティ対策の背後にあるフライトプランニングソフトウェアなどの特定の資産に焦点を当て、エンジニアリングネットワークを一般的なビジネスネットワークから分離することで、彼らのクラウンジュエルを保護することに焦点を当てるべきだと彼は言っています。
ビジネスは重要なシステムの運用リスクを削減することで利益を得られるでしょう。これは重要でない環境がゼロトラストのためにかなりの利益がないことを負うことを強制しません。”それは、クラウンジュエルデータに接触するワークステーションの小さなセットへの非対称投資です。”Baxterは言います。”ほとんどのビジネスは柔軟性とスケールが必要であり、すべてのドローンオペレーターまたはフィールドワークステーションのいくつかの教科書ゼロトラストポスチャは現実的ではありません。”
最新のDark Reading Confidentialポッドキャストをお見逃しなく、 USB侵入テストの話がどのようにバイラルになったか。20年前、Dark Readingは最初のブロックバスター記事を投稿しました。ペンテスターが信用組合の駐車場に仕掛けられた親指ドライブを振りまき、好奇心の強い従業員に残りをさせた列です。このエピソードは、その著者Steve Stasiukonisとともに、歴史的な作品を振り返ります。 今すぐ聴く!
