TokyoBlackHatNews

gbhackers.com 4分で読了

Ghostwriter APTがGmailの偽ログイン画面でパスワードと2FAコードを窃取

CERT Polskaの報告によると、Ghostwriter(UNC1151)は本物そっくりのGmail偽ログイン画面を展開し、パスワードと二要素認証(2FA)コードの両方を詐取する手口により、長年にわたるフィッシング活動をさらに激化させています。

同グループはこれまでOnet、Wirtualna Polska、Interiaといったポーランドのメールプロバイダーをおもな標的としていましたが、2026年3月にGmailを狙った大規模キャンペーンへと標的をシフトしました。

攻撃者は、不審なアクティビティやアカウントの停止が迫っていると主張するポーランド語の巧みなメールを送りつけ、次々と切り替えられるドメインや悪用されたホスティングサービス上に設置した偽ログインページへ受信者を誘導します。

フィッシングメールは、新規作成されたGmailアカウントから送信されることが多く、まれに表示名を正規のものに見せかけた侵害済みメールボックスから送信されることもあります。

拡散範囲を広げ、検出を回避するため、UNC1151はBCCを多用しており、宛先リストを見せることなく同じメッセージを大量の受信者に一斉送信しています。文章の品質は概して高く、注意力の低いターゲットが違和感を覚えにくいよう工夫されています。

メール内のリンクは、Gmailのサインイン画面を視覚的に模倣したページへ誘導しますが、ドメインが正規のものとは異なっており、これが詐欺を見抜く主要な手がかりとなります。

今回のキャンペーンにおける注目すべき技術的進化は、第二認証要素コードを明示的に詐取する手口です。被害者がメールアドレスとパスワードを入力すると、偽の画面は自動ログインを試みるか、直ちにワンタイムコードの入力を求めます。

この二段階目のプロンプトにより、SMSで届いたコードやアプリで生成されたコード(Google Authenticatorなど)が詐取され、従来であれば単純な認証情報の盗取を防いでいたはずの二段階認証を攻撃者が突破できてしまいます。

Image

CERT Polskaによると、攻撃者は同じ受信トレイを繰り返し標的にしており、緊迫感を高めて操作される可能性を上げるため、数日以内に複数のフォローアップメールを送ることもあるといいます。

Gmailの偽ログイン画面

UNC1151はドメインを素早く入れ替えられる柔軟なインフラを運用しています。専用のフィッシングドメイン(一般的に.icu、.digital、.topなどのTLD)、制限の緩いホスティングプラットフォーム上に作成したサブドメイン(特に*.netlify.app)、そして正規ウェブサイトへの不正侵入を組み合わせて使用しています。侵害の対象となるのは主にポーランドの中小規模組織のサイトで、メインページを変更せずに悪用することで発覚を避けています。

最近のキャンペーンで使用されたドメインの例としては、mailverify.digital、verify-check.digital、monitoring-google-konta.netlify.appなどが挙げられます。これらの短命な資産は頻繁に入れ替えられており、活動が活発な時期にはほぼ毎日新たなフィッシングドメインが出現したことをCERT Polskaは確認しています。

Image

標的の選定は幅広く、かつ戦略的です。UNC1151は政治関係者、公務員、ジャーナリスト、研究者、法執行機関の職員、そして家族や職業上のつながりを持つ関係者を重点的に狙っています。

場合によっては、攻撃者が一般的な名前をもとにアドレスを推測することもあり、無関係な人物が巻き添えでフィッシング被害を受けることもあります。

キャンペーンは職種や地域によっても使い分けられており、特定地域の翻訳者や裁判所の専門家を狙うケースもあります。メッセージには「停止期限が迫っている」や「重大」な警告を強調する文言が多用され、受信者に迅速な対応を迫ります。

検出と対策は、意識向上と多層防御にかかっています。ユーザーレベルで注意すべき主なサインとしては、ブラウザのアドレスバーに表示されるドメインの不一致、認証情報入力直後に突然求められる2FAコードの要求、そして事前の脈絡なく即時対応を求めるメッセージなどが挙げられます。

組織においては、ハードウェアセキュリティキーなどのフィッシング耐性のある認証方式を導入し、クレデンシャルスタッフィングや不審なログインを監視するとともに、類似ドメインに対するドメイン監視および削除対応のワークフローを整備することが重要です。

CERT Polskaの分析には送信者やメッセージのサンプルが含まれており、このグループの執拗さが示されています。ユーザーが操作しなかった場合でも、繰り返し送られるメールによって最終的に被害を受ける可能性は高まります。

セキュリティチームはこのキャンペーンを、SMSやアプリコードによる2FAはフィッシングの被害を受け得るという重大な警告として受け止め、強固でフィッシング耐性のある管理策の導入が今や不可欠であることを認識する必要があります。

翻訳元: https://gbhackers.com/fake-gmail-login-panels/

ソース: gbhackers.com
#APT #CERT Polska #Ghostwriter #Gmail #UNC1151 #サイバースパイ #ソーシャルエンジニアリング #フィッシング #二要素認証 #認証情報窃取

関連記事

Infinite Campusの情報漏洩、13万7,000人のユーザー情報が流出

侵害されたWordPressサイトを悪用し、EtherHidingチェーンでGULoaderを配布するハッカー集団

MicrosoftのOAuthデバイスコードフローを悪用したMicrosoft 365アカウント乗っ取り攻撃が進行中