ロシアと関係のあるStar Blizzard APTが今年初め、フランスの報道の自由団体「国境なき記者団(RSF)」を標的にしたとSekoiaが報告しています。
この攻撃は3月に発生し、RSFの主要メンバーの一人を標的としたフィッシングメールによって実行されました。
Star BlizzardはProtonMailアドレスを使用し、受信者の信頼できる連絡先を偽装して、添付された文書を確認するよう依頼しました。ロシアのハッカーは意図的に文書を添付せず、受信者が返信して文書を求めるのを待ったと、Sekoiaは指摘しています。
2通目のメールには、侵害されたウェブサイトへのリンクが含まれており、そこからProtonDrive上にホストされたPDFへリダイレクトされました。しかし、Protonが運用者のアカウントをブロックしたため、PDFファイルは取得できませんでした。
国境なき記者団に対する攻撃の一環として、Star Blizzard APTはフランス語と英語の両方でフィッシングメールを送り、和平交渉をテーマにして標的となる被害者を悪意のあるリンクに誘導しました。
Star BlizzardのフィッシングキットはProtonMailアカウントを標的に
別の組織が関与した2回目の攻撃では、脅威アクターはPDFファイルを装ったZIPアーカイブをフィッシングメールに添付しました。
このファイルは文書が暗号化されていると主張するメッセージを表示し、被害者を侵害されたウェブサイトへのリンクをクリックさせ、そこからフィッシングキットへリダイレクトさせました。
Sekoiaによると、このキットはProtonMailアカウントを標的とするよう設計されており、二要素認証も中継できるとのことです。
おそらく自作のこのキットは、APTが被害者のサインインページに悪意のあるJavaScriptを注入することを可能にし、中間者(AiTM)技術を利用しています。
改ざんされたサインインページでは、ユーザー名があらかじめ入力されており、被害者のカーソルはパスワード欄にフォーカスされたままになります。
ページに注入されたより複雑なコードは、攻撃者が管理するAPIと連携し、認証情報を処理してユーザーと正規のProtonMail認証インターフェースの間で仲介役を果たします。
新たな攻撃は、Sekoiaによれば、ClickFix技術を用いたStar Blizzardの標的型フィッシングキャンペーンの継続だといいます。
「もしあなたがウクライナに関与するNGO、またはこの紛争に関する情報を持つ個人や研究者であり、ウクライナの組織と協力している場合、この脅威アクターの標的となる可能性があります」とSekoiaは指摘しています。
UNC4057、Callisto、ColdRiver、Seaborgiumとしても追跡されているStar Blizzard APTは、少なくとも2019年から活動しており、政府機関、学術機関、NGO、シンクタンクを標的にしています。
2023年、米国政府はこのハッカーグループをロシア連邦保安庁(FSB)と公式に関連付けました。今年初めには、LostKeysマルウェアを使用し、政府や軍事顧問、ジャーナリスト、シンクタンク、非営利団体への攻撃が確認されています。
翻訳元: https://www.securityweek.com/reporters-without-borders-targeted-by-russian-hackers/
