ウクライナのサイバーインシデント対応チーム(CERT-UA)によると、ロシアのハッカーは以前に侵害したコンピュータシステムへのアクセスを再度取得する試みを増やしており、初期段階の違反がしばしば後続作業の足がかりとして使用されていると警告しています。
新しいレポートで、CERT-UAはアタッカーが以前に侵害されたインフラストラクチャを再訪して、アクセスがまだ利用可能か、悪用された脆弱性がパッチされているか、以前に取得された認証情報がまだ有効かをチェックしていると述べています。
「残念ながら、初期インシデントの根本原因が完全に排除されていない場合、これらの試みが成功することがあります」と研究者は述べています。
このトレンドは2025年中のアタッカーの戦術の広い転換を反映しています。今年前半は、多くのサイバーインシデントが「盗んで去る」アプローチに依存していて、アタッカーは検出を回避するためにシステムを去る前に認証情報または他の機密データを迅速に収集するように設計されたマルウェアを展開していました。
しかし、年後半では、侵害されたネットワークへの長期アクセスを維持することに焦点が増えていることを研究者は観察しました。
CERT-UAは、この戦略により脅威アクターが成功した違反の価値を最大化でき、後で戻ってアクセスを拡張したり、スパイ活動を実施したり、サイバー作業の他の段階をサポートしたりできると述べています。
研究者はまた、アタッカーがウクライナのネットワークに最初にアクセスする方法の変化を観察しました。CERT-UAは、組織が一般的なサイバー脅威にさらに認識するようになっているため、従来のフィッシングメールと悪意のある添付ファイルがあまり効果的ではなくなってきていると述べています。
代わりに、アタッカーはターゲットとの信頼を構築するために設計された洗練されたソーシャルエンジニアリング戦術にますます依存しています。多くの場合、ハッカーはウクライナの携帯番号と正当なメッセージングアカウントを使用して電話でターゲットに直接連絡し、流暢なウクライナ語を話し、彼らがターゲットにしている個人または組織に関する詳細な知識を示しています。
電話やビデオチャットを通じて信頼を確立した後にのみ、アタッカーはメッセージングアプリを通じて悪意のあるファイルを送信し、ターゲットがそれらを開く可能性を大幅に増加させます。
CERT-UAによると、Fancy Bearとしても知られているAPT28を含むロシアに関連したハッキンググループおよびVoid Blizzardとして追跡されている脅威アクターは、ウクライナの軍隊メンバーと政府機関に対する攻撃でこの技術を使用しています。
戦術の進化にもかかわらず、レポートはサイバーインシデント全体の数が2025年後半には前半と比較して減少したことに注目しており、ロシアの全面的な侵攻が始まって以来初めてのそのような低下です。
研究者は、この減少はウクライナの組織が脅威環境に徐々に適応し、防御を改善していることを示す可能性があると述べました。
CERT-UAは、セキュリティと防衛セクターが引き続き主要なターゲットであると述べており、これらのネットワークを破壊または浸透させることは戦争の進路に直接影響を与える可能性があります。
翻訳元: https://therecord.media/ukraine-warns-russian-hackers-revisiting-old-attacks
