ベラルーシ関連のハッキンググループGhostWriterは、人気のあるオンライン学習プラットフォームからのメッセージに偽装したフェイクメールを使用して、マルウェアを配信し、ウクライナ政府当局者に対する新しいスパイ活動キャンペーンを開始しました。
ウクライナのコンピュータ緊急対応チームCERT-UAによると、このキャンペーンは2026年春以降活動しており、侵害されたアカウントから政府機関の従業員に送信されたフィッシングメールが含まれています。
メールはウクライナ最大のオンライン学習プラットフォームであるプロメテウスからのメッセージに偽装され、オンラインコース完了の証明書を提供すると主張していました。プロメテウスは、プログラミングとビジネスから公共管理までのクラスを提供し、軍事サービスとドローン工学に関連するコースもホストしています。
この操作はGhostWriter(UNC1151およびStorm-0257としても追跡されている、ベラルーシ国家情報機関に関連する脅威アクター)に起因します。このグループは以前、認証情報盗難と影響操作を通じて、ウクライナの軍事要員、ポーランド政府機関、および地域の他の当局者を標的にしていました。
最新のキャンペーンでは、フィッシングメールには悪意のあるリンク付きのPDF添付ファイルが含まれており、OysterFreshと識別されたマルウェアを含むZIPアーカイブをダウンロードしました。マルウェアチェーンは最終的にOysterBluesおよびOysterShuckとして知られるコンポーネントを展開しました。これらは感染したデバイスからシステム情報を収集し、Cloudflareの背後に隠された攻撃者制御のインフラストラクチャに送信します。
CERT-UAは、マルウェアがコンピュータ名、オペレーティングシステムバージョン、ユーザーアカウント情報、実行中のプロセスを含む詳細を収集していると述べました。同機関はまた、侵害されたシステムが後でCobalt Strikeという攻撃的ハッキングフレームワークに関連するペイロードを受け取る可能性があると警告しました。これは正当なペネトレーションテストツールですが、サイバー犯罪者と国家支援グループによって頻繁に悪用されています。
この警告は、CERT-UAがウクライナの戦場管理および状況認識システムであるデルタのユーザーを標的とした別のスパイ活動キャンペーンを開示した1日後に来ています。その操作では、身元不明の攻撃者が、ウクライナのサイバーセキュリティ機関からのアラートに偽装したフィッシングメールを送信し、受信者にデルタアカウントへの無許可アクセスについて警告しました。
翻訳元: https://therecord.media/oysterfresh-belarus-linked-campaign-targets-ukraine
