サイバーセキュリティ研究者によると、ロシア国家の支援を受けたハッカーが、ウクライナで人気のウェブメール兼ニュースサービスであるUKR.NETの利用者を標的に、認証情報を窃取して情報収集を行う目的で、数カ月にわたるフィッシングキャンペーンを実施していた。
Recorded FutureのInsikt Groupが水曜日に公開した報告書によれば、この作戦は2024年6月から2025年4月まで活動しており、BlueDelta(APT28、Fancy Bear、Forest Blizzardとしても知られる)によるものとされた。The RecordはRecorded Futureの編集上独立した部門である。
研究者らは、このキャンペーンはより広範なロシアの情報機関の目的を支援するため、ウクライナの利用者から機微な情報を収集することを狙った可能性が高いと述べた。
Insiktは、ハッカーがUKR.NETの認証ポータルを模倣するよう設計された複数の偽ログインページを設置していたことを確認した。被害者は、詐欺ページへのリンクを埋め込んだPDF添付ファイルを含むフィッシングメールによって誘導されており、研究者はこの手口が自動化されたメールセキュリティフィルターを回避する意図だった可能性が高いとしている。
フィッシング基盤の分析により、20以上の関連PDFファイルが判明し、研究者はこれらがキャンペーンの一環として標的に配布されたとみている。文書は、利用者のUKR.NETアカウントで不審な活動があったと警告し、パスワードをリセットするためリンクをクリックするよう促していた。
「BlueDeltaが無料ホスティングと匿名化トンネリング基盤の悪用を継続しているのは、2024年初頭に西側主導で行われたインフラのテイクダウンへの適応的な対応を反映している可能性が高い」と研究者らは述べた。
西側政府およびセキュリティ企業によれば、BlueDeltaは10年以上にわたり、政府機関、防衛請負業者、武器供給業者、物流企業、政策系シンクタンクを標的に、サイバー諜報および認証情報の窃取作戦を実施してきた。
Insikt Groupは、この活動が近く止まる可能性は低いと警告した。
報告書は「BlueDeltaは2025年を通じ、さらに2026年にかけても認証情報の窃取活動を継続する可能性が高い」とし、今後のキャンペーンでは、継続する法執行機関の取り締まりの中で作戦を維持するため、無料ホスティングやリダイレクトサービスをさらに幅広く利用する可能性が高いと付け加えた。
過去2年間、ウェブメールサービスは諜報活動に関連するハッキンググループの標的となるケースが増えている。
研究者によると、5月の別のキャンペーンでは、このグループがクロスサイトスクリプティングの脆弱性を悪用している様子が確認され、主にウクライナ、ブルガリア、ルーマニアにおいて、国家機関や防衛企業が使用するウェブメールサーバーを標的にしていたという。
2023年には、別の国家支援グループであるWinter Vivernが、欧州各国の政府で使用されているRoundcubeウェブメールソフトウェアの未知の欠陥を悪用した。同年、APT28は、ロシアによるウクライナ侵攻をおとりにして被害者に悪意あるメールを開かせ、Roundcubeの複数の脆弱性を悪用することで、ウクライナ政府機関および軍用航空関連企業を標的にした。
翻訳元: https://therecord.media/russian-bluedelta-hackers-ran-phishing-ukraine-webmail
