研究者らによると、ハッカーがAgingFlyと呼ばれるマルウェアツールを使用した新しいスパイ行為キャンペーンで、ウクライナの病院と地方自治体を標的にしています。
ウクライナのコンピュータ緊急対応チーム(CERT-UA)によると、この活動はUAC-0247として追跡されているグループによって実行され、過去2か月間に地方自治体、臨床病院、緊急医療サービスに対して複数の攻撃を実行しました。
CERT-UAによると、ハッカーは機密データを盗むことを試みており、場合によっては侵害されたシステムを悪用して暗号通貨をマイニングしていました。
攻撃は通常、人道支援提案に関する議論を装ったフィッシングメールで始まります。被害者は悪意のあるアーカイブファイルのダウンロードに導くリンクをたどるよう求められました。
メッセージをより説得力のあるものにするため、攻撃者は時々人工知能を使用して生成された可能性のある偽の組織のウェブサイトを作成したり、正規のウェブサイトに悪意のあるスクリプトを埋め込んだりしました。
開くと、アーカイブはAgingFly、SilentLoop、ChromeElevator、ZapixDeskを含む複数のマルウェアをインストールしました。
CERT-UAは、AgingFlyが攻撃者に感染したコンピュータをリモートで制御できるようにし、コマンドの実行、ファイルのダウンロード、スクリーンショットの取得、キーストロークの記録、任意のコード実行を可能にするとしています。別のツールであるSilentLoopは、コマンドを実行でき、Telegramチャネルを介して攻撃者のコマンド・アンド・コントロールサーバーの現在のアドレスを取得できます。
攻撃者はまた、ChromeElevatorを使用してインターネットブラウザから認証情報やその他の機密情報を抽出したり、ZapixDeskと呼ばれるツールを使用してWhatsAppアカウントから抽出しようとしました。
1つのケースでは、調査官は正当な暗号通貨マイニングツールであるXMRigの使用を検出し、攻撃者が被害者のコンピューティングリソースを使用してデジタル通貨を生成した可能性があることを示唆しています。
CERT-UAはまた、ウクライナの防衛軍のメンバーが同様の戦術を通じて標的にされる可能性があることを警告しました。3月には、攻撃者がSignalメッセージングアプリを介してドローンオペレーター向けの更新されたソフトウェアパッケージだと主張していたものを配布したという報告を受け取りました。アーカイブファイルは代わりにAgingFlyをインストールしたマルウェアを含んでいました。
今週初め、ロイターが報道した別のインシデントで、ロシア関連のハッカーがウクライナの検察官と調査官に属する170以上のメールアカウント、および隣接するNATO諸国とバルカン半島の標的に侵入しました。
Ctrl-Alt-Intelのサイバー研究者は、そのキャンペーンをAPT28として知られるグループに帰属させました。APT28はFancy Bear、BlueDelta、またはForest Blizzardとも呼ばれています。
研究者らは、ハッカーがロシアのスパイ行為の調査を監視するか、キエフの上級当局者に関する潜在的に機密情報を収集するために、ウクライナの法執行機関を標的にしたと述べています。
Recorded Future NewsはFancy Bearキャンペーンに関する追加のコメントについてCERT-UAに連絡しましたが、出版時までに返答を受けませんでした。
翻訳元: https://therecord.media/aging-fly-espionage-campaign-targets-ukraine-emergency-services
