ロシア支持派のハッカーグループがウクライナの国立サイバーインシデント対応チームになりすまし、政府機関、企業、その他の機関を標的としたフィッシングキャンペーンを実施したとウクライナのサイバーセキュリティ当局が述べた。
ウクライナのコンピュータ緊急対応チーム(CERT-UA)の研究者らは日曜日、UAC-0255として追跡されている攻撃者が先週、機関になりすまして電子メールを送信したと述べた。メッセージは、ロシアがウクライナの重要インフラに対して準備していると主張されている「大規模なサイバー攻撃」についての警告を受取人に与えた。
メールは受信者にファイル共有サービスFiles.fmからパスワード保護されたアーカイブをダウンロードし、脆弱なシステムを保護することを目的とした特別なセキュリティソフトウェアとして説明されているものをインストールするよう促しました。ハッカーは、メッセージを無視すると「深刻な結果」につながる可能性があると警告しました。
ファイルには、攻撃者が感染したコンピュータを遠隔制御できるようにするAgeWheezeというリモート管理ツールが含まれていました。CERT-UAによると、マルウェアはコマンドの実行、ファイルとプロセスの管理、スクリーンコンテンツのストリーミング、マウスとキーボード入力のエミュレート、クリップボードへのアクセスなど、幅広い機能をサポートしています。
フィッシングメールは、政府機関、医療センター、金融企業、セキュリティ企業、大学、ソフトウェア開発者を含む複数のセクターの組織を標的としました。
CERT-UAは、キャンペーンは概ね失敗に終わり、主に教育機関の従業員が所有する個人用デバイスで、少数の感染のみが発生したと述べました。
機関は、この操作はCyberSerpハッカーグループに関連している可能性があると述べました。CyberSerpは後にTelegramチャネルで攻撃の責任を主張しました。CERT-UAは、キャンペーンで使用された偽のWebサイトのコード内に「From Cyber Serp with Love」というフレーズが組み込まれていることを発見したと述べました。
Telegramの投稿では、グループは広く使用されているウクライナのメールサービスであるUkr.netのおよそ100万人のユーザーに悪意のあるメールを送信し、20万台以上のデバイスを侵害したと主張しました。CERT-UAはこれらの数字を確認していません。
ハッカーはまた、CERT-UAの調査を称賛し、彼らが「広告宣伝」と説明したTelegramチャネルについて機関に感謝しました。
新興の脅威アクター
CyberSerpはウクライナを標的にした比較的新しい脅威アクターです。そのTelegramチャネルは2025年11月に開設され、そこでグループは自分たちを「サイバーパルチザン運動」と説明し、ウクライナの起源を主張しています。
グループは以前、ウクライナで協力者を募集しようとしており、「貴重な情報」に対する支払いを約束していました。
CyberSerpは、ウクライナのサイバーセキュリティ企業Cipherの別の疑わしい侵害についても責任を主張し、同社のサーバーの完全なダンプ(内部通信と政府機関を含むと主張されるクライアントのデータベースを含む)を取得したと主張しています。
Cipherは、攻撃者が契約業者の1つの従業員の認証情報を侵害したことを認めましたが、そのコアインフラストラクチャに侵害はなかったと述べた。会社によると、侵害されたアカウントは、機密セキュリティ情報または個人データを含まない単一のプロジェクトにのみアクセスできました。
翻訳元: https://therecord.media/pro-russian-hackers-posing-as-ukrainian-cyber-agency
