比較的新しいロシア関連のハッカーグループが、Starlink衛星インターネット端末やウクライナの有名チャリティ団体に関する文書に偽装されたスパイウェアを使用して、ウクライナの組織を標的とするサイバースパイキャンペーンを開始したと、研究者らが発見した。
2月に観察されたキャンペーンは、DrillAppという名称のバックドアを展開し、攻撃者が感染したコンピュータからファイルをアップロード・ダウンロードしたり、マイクを通じて音声を記録したり、ウェブカメラから画像をキャプチャしたりできるようにしていた。サイバーセキュリティ企業Lab52のレポートによると。
研究者らは、このキャンペーンをロシア関連のハッカーグループLaundry Bearに帰属させている。Void Blizzardとしても追跡されており、2024年以降少なくとも活動中で、以前にはNATO加盟国とウクライナの機関を標的にしている。
ウクライナのコンピュータ緊急対応チームCERT-UAは、以前、同グループによる同国の武装勢力を標的とした別の作戦を今年初めに報告していた。研究者らは、このキャンペーンはチャリティテーマの囮や公共のテキスト共有サービスへの悪意あるコンポーネントのホスティングを含む、同様の技術に依存していたと述べている。
最新の作戦では、攻撃者は武装勢力を支援するウクライナのチャリティ団体Come Back Aliveからの要求に成り済ましたドキュメント、およびStarlink衛星インターネット端末の検証に関連する画像を使用した。ウクライナは、ロシア軍がこの技術を攻撃ドローンに搭載し始めたことを当局が確認した後、2月初旬にStarlink端末の検証システムを導入した。
一度開かれると、悪意のあるファイルはMicrosoft Edgeブラウザを通じて実行され、攻撃者が被害者のファイルシステムにアクセスし、マイクから音声を、カメラからビデオを、デバイスの画面の記録をキャプチャできるようになる。
研究者らは、攻撃者がマルウェア配信にウェブブラウザを使用している可能性があると述べており、その理由はブラウザがカメラ、マイク、画面記録などの機密デバイス機能に正当なアクセス権を持つことが多く、悪意のある活動を検出しにくくする可能性があるからである。また、ブラウザはセキュリティツールによって疑わしいものとしてフラグされることはめったにない。
Lab52は、スパイウェアがまだ開発の初期段階にあるように見えると述べており、攻撃者が防御を回避するための新しい方法を実験している可能性があることを示唆している。研究者らは、キャンペーンで使用されたマルウェアの2つのバージョンを特定し、主に被害者を騙すために使用された囮が異なっていた。
Laundry Bearは以前、「検出が難しい可能性のある比較的単純な技術を使用する」ものとして説明されていた。このグループは主にサイバースパイ活動に焦点を当てている。マイクロソフトは以前、教育、輸送、防衛を含むウクライナの複数のセクター全体の組織を成功裏に侵害したと報告している。
セキュリティ研究者らはまた、Laundry Bearの戦術とロシア軍事情報脅威アクターAPT28(別名Fancy Bear)が使用する戦術との間に重複を指摘しているが、アナリストは一般的に彼らを異なるアクターと見なしている。
翻訳元: https://therecord.media/russia-ukraine-cyber-espionage-group
