ESETの製品と研究は、数年にわたりウクライナのITインフラを保護してきました。2022年2月の戦争開始以来、ロシア寄りのグループによって開始された多数の攻撃を阻止し、調査してきました。また、WeLiveSecurityで最も興味深い発見をいくつか公開しています。
マルウェアに関連する脅威の分析が主な焦点である一方で、ウクライナ人および海外のウクライナ語話者の心に疑念を抱かせようとする情報操作または心理作戦(PSYOP)を調査することになりました。
オペレーション・テクソント
オペレーション・テクソントは、スパムメールを主な配布方法として使用するディスインフォメーション/PSYOPキャンペーンです。驚くべきことに、犯人はTelegramや偽のウェブサイトなどの一般的なチャネルを使用してメッセージを伝えることはありませんでした。2023年11月の第一波と12月末の第二波の2つの異なる波を検出しました。メールの内容は、ロシアのプロパガンダの典型的なテーマである暖房の中断、薬品の不足、食料の不足についてでした。
ディスインフォメーションキャンペーンに加えて、2023年10月にウクライナの防衛会社、11月にはEU機関を標的としたスピアフィッシングキャンペーンを検出しました。両方の目的は、Microsoft Office 365アカウントの資格情報を盗むことでした。これらのPSYOPとフィッシング作戦で使用されたネットワークインフラの類似性により、高い確信を持ってこれらをリンクしています。
興味深いことに、さらにいくつかのピボットは、オペレーション・テクソントの一部であり、アレクセイ・ナワリヌイなどのロシア国内のトピックに関連するドメイン名を明らかにしました。これは、オペレーション・テクソントが、故反対派リーダーの支持者やロシアの反体制派を標的としたスピアフィッシングまたは情報操作を含んでいる可能性があることを意味します。これらのドメインには以下が含まれます:
- navalny-votes[.]net
- navalny-votesmart[.]net
- navalny-voting[.]net
さらに奇妙なことに、攻撃者が運用するメールサーバーがPSYOPメールの送信に使用された後、2週間後に典型的なカナダの薬局スパムの送信に再利用されました。この種の違法ビジネスは、長い間ロシアのサイバー犯罪コミュニティ内で非常に人気がありました。
オペレーション・テクソントの主な出来事を図1がまとめています。
図1. オペレーション・テクソントのタイムライン
スパイ活動、情報操作、偽の薬局の奇妙な組み合わせは、カリストを思い出させます。これは、2023年12月に米国司法省によって起訴された、よく知られたロシア寄りのサイバースパイグループです。カリストは、政府関係者、シンクタンクの人々、軍関連組織を標的とし、一般的なクラウドプロバイダーを模倣したスピアフィッシングウェブサイトを介して攻撃します。このグループは、2019年の英国総選挙直前に文書リークなどのディスインフォメーション作戦も実行しています。最後に、古いネットワークインフラにピボットすると、musclepharm[.]topやukrpharma[.]ovhなどの偽の薬局ドメインにつながります。
オペレーション・テクソントとカリストの作戦との間にはいくつかの高レベルの類似点がありますが、技術的な重複は見つかっておらず、現在、オペレーション・テクソントを特定の脅威アクターに帰属させていません。しかし、TTP(戦術、技術、手順)、標的、メッセージの拡散を考慮すると、この作戦をロシア寄りのグループに高い確信を持って帰属させています。