マイクロソフトとノートンライフロックの脅威ハンターは、ウクライナの組織を攻撃しているロシアのスパイ機関からの新しいサイバースパイ攻撃の集中砲火に関するメモを共有しています。
両社は今週、XNUMX年以上にわたってハッキングとステルス持続性の維持に焦点を当ててきたロシア政府のAPTグループであるガマレドンに関連する新しいマルウェア活動の発見を文書化するために別々のレポートを発行しました。
検出と削除を支援するIOC(侵入の痕跡)を含む民間部門のレポートは、ウクライナ政府の数日後に届きます 公に帰属 マルウェアはロシアのFSB(Federal Security Service)を攻撃し、2013年に最初に登場して以来、グループは「侵入性と大胆さ」で運営されていると主張しています。
Microsoftのレポートでは、このアクターはXNUMX年以上にわたって運用されており、ウクライナの組織またはウクライナ問題に関連するエンティティへのアクセスを一貫して追求していると説明されています。
最近、レドモンド氏は、ロシアのサイバースパイは、緊急対応に不可欠な組織やウクライナ領土の安全を確保する組織、および危機の際にウクライナへの国際的および人道援助の分配の調整に関与する組織のアカウントを標的または侵害したと述べました。
[ 読む: VolexityはZimbraゼロデイの「積極的な搾取」について警告します ]
Microsoftは、標的にされた、または侵害されたオンラインサービスについて、ウクライナ当局に直接顧客に通知したと述べた。
Microsoftの脅威ハンティングユニットによると、マルウェアの作成者は、リモートテンプレートを使用するブービートラップされた添付ファイルを含むスピアフィッシングメールルアーを使用しているという。 これらのフィッシングメールは、メッセージがいつ開かれたか、またはレンダリングされたかを追跡することにより、将来の攻撃の偵察を処理しているように見えます。
による マイクロソフトレポート、フィッシングメッセージには、追加のペイロードをダウンロードして実行する第XNUMX段階のペイロードも含まれています。 このグループはまた、検出を回避し、ステルスを維持するために、急速に変化する運用構造を使用して観察されました。
「30回の25日間のスナップショットで、80を超える新しい一意のドメインとXNUMXを超える一意のIPアドレスを利用しており、インフラストラクチャを頻繁に変更または変更していることを示しています」とMicrosoftは述べています。
脅威ハンターは、キャンペーンでの複数のマルウェアファミリーの使用と、後でより高度なマルウェアを展開するための新しい難読化された軽量の機能についても説明しました。
[ライアンナライネ: ロシアのREvilランサムウェアバストからのXNUMXつの重要なシグナル ]
「これらは、分散度の高い動きの速いターゲットです。 分析されたペイロードは、定期的に難読化されたVBScriptに重点を置いています。 攻撃として、これは目新しいアプローチではありませんが、ウイルス対策ソリューションは非常に機敏な脅威に対応するために一貫して適応する必要があるため、成功を収め続けています」とMicrosoftは述べています。
A 別のドキュメント BroadcomのSymantecユニットから、ロシアのハッキンググループが不正なWord文書を送信してウクライナのターゲットを選択し、ファイルが開かれたときにバックグラウンドで悪意のあるスクリプトをサイレントに実行した事例について詳しく説明しています。
Symantedは、グループが使用するXNUMXつのファイルと、侵入の痕跡(IOC)データの共有パターンを明らかにし、防御側が感染の兆候を探すのに役立てていると述べました。
ウクライナ政府の公式データによると、ロシアのハッキンググループは、5,000を超えるウクライナ政府システムに対する1,500を超える攻撃に関与しています。
関連する ウクライナがガマレドン攻撃に関与したロシアのFSB役員を指名
関連する GamaredonGroupがウクライナの攻撃でカスタムマルウェアを使用
関連する ロシアの「ガマレドン」ハッカーがウクライナ当局者を標的にした