出典: Alamy Stock Photoを通じたPiotr Malczyk
既知のベラルーシ系サイバースパイ活動グループが東ヨーロッパの標的に対する脅威キャンペーンで戻ってきており、スピアフィッシングを使用して悪意のあるペイロードを東ヨーロッパの政府および軍事機関に配信しています。このキャンペーンは、このグループが標的の選定に特に慎重であるという点でユニークです。
3月に始まり、ポーランドとウクライナの実体を特に標的としたキャンペーンでは、FrostyNeighbor(Ghostwriter、UNC1151、TA445、PUSHCHA、およびStorm-0257としても追跡されている)は、木曜日に公開されたESET研究によるレポートによると、ベラルーシに代わってのサイバー犯罪活動の継続的な進化を示しています。
最新の攻撃波はウクライナとポーランドの政府機関を標的としており、ESETによると、グループがスパイ活動ツールキットと配信インフラストラクチャの進化を続けているかを示しています。高度な永続的脅威(APT)は、スピアフィッシングPDF、サーバーサイド被害者検証、およびグループのメインペイロードダウンローダーであるPicassoLoaderのJavaScriptベースのバージョンを使用した新しい侵害チェーンを使用して、最終的に後漏えい後の操作用にCobalt Strikeを配置しています。
「2026年1月以来、グループはマクロベースの初期ルアドキュメントの使用を放棄し、次のステージへの悪意のあるリンクを含むぼやけたPDFのみを使用しているようです」とESET上級マルウェア研究者のDamien Schaefficerは、Dark Readingに述べています。
そのPDFルアはウクライナの通信プロバイダーUkrtelecomを装い、安全な顧客データ保護を提供すると主張しています。攻撃者が管理するインフラストラクチャでホストされているダウンロードリンクを含んでいます。
偽情報を超えたFrostyNeighborのサイバー進化
少なくとも2016年以降活動していると考えられているFrostyNeighborは、スピアフィッシング、認証情報盗難、マルウェア配置、および更広いGhostwriter影響操作に関連する偽情報活動を含む他の悪意のある操作とサイバースパイ活動を組み合わせることで知られています。
2021年に始まり、最初はロシアからのものと信じられていたそのキャンペーンは、ドイツ、ポーランド、ウクライナ、およびバルト三国のエストニア、ラトビア、リトアニアを含む複数のヨーロッパ諸国をフィッシングと偽情報でターゲットにしていました。最終的に、研究者たちはGhostwriter/FrostyNeighborが最初に知られていたよりも重要なフィッシングインフラストラクチャを持っていることを発見し、それは最新の攻撃で顕著に現れています。
最新のイテレーションは高度にターゲット化されており、攻撃者は被害者のコンピューターをフィンガープリントして、ターゲッティングが具体的であることを確認しています。これ自体はユニークではありませんが、Schaefficerは、FrostyNeighbor操作者がその後、ターゲットがインプラントを受け取るかどうかを手動で決定しているようだと述べています。
FrostyNeighborの手動、具体的な被害者ターゲッティング
被害者が予想される地理的な場所からではない場合、サーバーは無害なPDFファイルを配信します。ただし、被害者がウクライナからのIPアドレスを使用している場合、サーバーは代わりに攻撃の最初のステージを含むRARアーカイブを配信します。それはJavaScriptファイルで、前述のPDFファイルをおとりとして削除して表示します。同時に、2番目のステージも実行します。それはPicassoLoaderダウンローダーのJavaScriptバージョンです。
実行時、PicassoLoaderはユーザー名、コンピューター名、OSバージョン、コンピューターのブート時間、現在の時刻、およびプロセスIDを含む実行中のプロセスのリストを収集することにより、被害者のコンピューターをフィンガープリントします。
ペイロードを配信するかどうかの決定は、前述のように、被害者が関心のあるかどうかを決定するために収集された情報に基づいて、操作者によって手動で実行される可能性が非常に高いと、ESETは述べています。その場合、コマンド・アンド・コントロール(C2)は最終ペイロードであるCobalt Strikeの3番目のステージJavaScriptドロッパーで応答します。そうでない場合は、空のレスポンスを返します。
東ヨーロッパの標的に対する防御的なアンチスパイ活動
FrostyNeighborは「運用の観点からかなりアクティブなままであり、検出を回避し、標的を侵害するために新しい技術を試している、そのTTPの継続的な進化を示しています」とSchaefficerは述べています。実際に、レポートで概説されている最新の侵害チェーンは、ESETによると、グループの兵器庫を更新・更新し続ける永続的な意思の継続です。
このため、グループが標的にする可能性のある組織(特にポーランド、リトアニア、およびウクライナ)は防御対策を講じるべきです。これには、外部または不明な送信者からのアタッチメント付きメールを慎重に分析するなど、通常のスピアフィッシング予防措置を講じることが含まれると、Schaefficerは述べています。
防御者はまた、ユーザー権限を最小限に制限したり、ダウンロードされたファイルの実行を防止したり、そのユーザーと環境を監視して疑わしいネットワーク通信を検出するなどのベストプラクティスを実装することができると彼は追加しています。防御者がキャンペーンを識別するのを支援するため、ESETはそのレポートに侵害指標(IoCs)の包括的なリストも含めました。
最新のDark Reading Confidentialポッドキャストをお見逃しなく。 USBペネトレーションテストのストーリーがバイラルになった方法20年前、Dark Readingは最初のブロックバスター記事を投稿しました。ペネトレーション・テスターが信用金庫の駐車場の周りに細工されたUSBドライブを散らし、好奇心が強い従業員に残りをさせたというコラムです。このエピソードは、その著者Steve Stasiukonisと共に歴史を作った記事を振り返っています。 今すぐ聴く!
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/frostyneighbor-apt-govt-orgs-poland-ukraine
