ポーランド当局は、ベラルーシと関係するハッカー集団がフィッシング攻撃の対象を拡大し、政府高官などの要人やその親族が個人で使用するGmailアカウントを標的にしていると警告しました。
「GhostWriter」として知られるこの集団は、これまでポーランドの主要メールプロバイダーが提供する業務用アカウントや電子メールサービスへの侵害を中心に活動していました。しかし、ポーランドの国家コンピュータ緊急対応チームであるCERT Polskaによると、3月以降はGmailユーザーを狙ったキャンペーンが急増しているといいます。
今回のキャンペーンは主に、政治・公共分野に携わる人物を標的としており、政府高官、研究者、ジャーナリスト、行政職員、法執行機関の関係者のほか、その家族や交友関係のある人物も対象に含まれています。
CERT Polskaは、GhostWriterが同機関の監視対象の中でも最も活発な国家支援型の脅威アクターの一つであり続けていると述べています。
研究者たちは金曜日に公開したレポートの中で、「ここ数週間、私たちのチームはほぼ毎日フィッシングページを提供する新しいドメインの使用を確認しています」と述べています。
GhostWriterのフィッシングキャンペーンは、ログイン認証情報と二要素認証コードの窃取を目的としており、攻撃者はこれを悪用して被害者のメールアカウントへのアクセスを確立します。侵入後、ハッカーは通常、連絡先リスト、機密文書、および連携しているオンラインアカウントを調査し、追加の標的を特定したり、SNSプロフィールを乗っ取ったりするために活用します。
研究者によると、攻撃者は標的とする人物の正確なメールアドレスを把握していないケースもあり、Gmailアドレスを推測したうえで送信することがあるため、類似した名前を持つ無関係の人物にフィッシングメッセージが届く事態も発生しています。また、翻訳者や裁判所の鑑定人など、特定の地域や職業グループを狙ったキャンペーンも確認されています。
GhostWriterはUNC1151やStorm-0257とも呼ばれており、サイバーセキュリティ研究者によってベラルーシ国家情報機関との関与が指摘されており、ロシアによるウクライナへの全面侵攻以降、ポーランドを標的とした攻撃を展開してきました。
同集団は認証情報の窃取にとどまらず、ポーランドとウクライナ、米国、NATOとの関係を弱体化させ、国内の社会的分断を煽ることを目的とした影響工作や偽情報工作も実施しています。
また、ウクライナの政府機関や軍事組織も標的にしています。今年初め、研究者らは、GhostWriterが人気のオンライン学習プラットフォームの通知を装った偽メールを使い、ウクライナ政府当局者にマルウェアを配布していたと報告しました。
また昨年、サイバーセキュリティ企業SentinelOneが明らかにした別のキャンペーンでは、同集団がベラルーシの反政府活動家を標的にしていたことも確認されています。
翻訳元: https://therecord.media/ghostwriter-targets-personal-gmail-accounts-in-poland
