新たな調査によると、あまり知られていないサイバー諜報グループが、ロシア軍関係者および防衛産業組織を標的とする新たなキャンペーンを開始した。
このキャンペーンは10月上旬、ニューヨーク拠点のサイバーセキュリティ企業Intezerの研究者が、VirusTotalにアップロードされた悪意のあるXLLファイルを特定した後に表面化した。最初はウクライナから、その後ロシアからアップロードされていた。このファイルは「敵の計画標的」と題され、Excelで開くと自動的に悪意のあるコードを実行するよう設計されていた。
起動すると、このファイルはこれまで文書化されていなかった「EchoGather」と呼ばれるバックドアをダウンロードし、攻撃者がシステム情報を収集し、コマンドを実行し、ファイルを転送できるようにした。盗まれたデータは、フードデリバリーサイトを装ったコマンド&コントロールサーバーに送信された。
このグループ「Goffee」は少なくとも2022年から活動しているが、ロシアのネットワークに対する可視性が限られているため、ロシア組織を標的とするサイバー作戦について西側研究者が公に報告する例は比較的少ない。
被害者を誘い込むため、Goffeeのハッカーはロシア語で書かれたフィッシングの誘い文句を用い、その中には高級軍将校向けのコンサートへの偽の招待状も含まれていたと、Intezerは金曜日の報告書で述べた。しかしその文書には、言語上の誤りや、ロシアの双頭の鷲の紋章を歪めて模倣した図柄(国家紋章というより一般的な鳥に見える)など、人工生成の明確な兆候が見られた。
別の誘いは、ロシア産業貿易省の次官を装った書簡で、国家防衛契約に関連する価格根拠資料の提出を求めるものだった。この書簡は大手の防衛企業およびハイテク企業宛てで、Intezerはこれらが意図された標的である可能性が高いと述べた。
攻撃がどの程度成功したのか、またハッカーが具体的にどの情報を狙っていたのかは不明だ。
研究者らは「脅威アクターは検知回避のための新たな手法を積極的に模索しているようだ」と述べた。「しかし、技術的な実装と言語の正確さの両面で明確なギャップが依然として存在しており、彼らの手口はまだ発展途上であることを示している。」
「Goffee」は「Paper Werewolf」としても知られ、少なくとも2022年から活動している。研究者らは親ウクライナ的だとみているが、正確な出自は確認されていない。これまで同グループに関する報告の大半はロシアのサイバーセキュリティ企業によるものだ。
4月には、カスペルスキーが、Goffeeがカスタムマルウェアを用いてロシアのシステムに接続されたUSBフラッシュドライブから機密ファイルを盗んでいたと報告した。8月には、BI.ZONEが、同グループがロシア組織への攻撃で、WinRARファイルアーカイバの既知の欠陥と併せてゼロデイ脆弱性を悪用したと述べた。
諜報活動が同グループの主要目的である一方、BI.ZONEは以前、攻撃者が侵害したネットワーク内で業務を妨害した少なくとも1件の事例を指摘している。
翻訳元: https://therecord.media/cyber-spies-fake-new-year-concert-russian-phishing
