として知られるロシアと連携した脅威グループ ウィンター・ビバーン 10 月にヨーロッパ全土で Roundcube Web メール サーバーのクロスサイト スクリプティング (XSS) の脆弱性を悪用していることが発見され、現在その被害者が明らかになりました。
本日発表されたこのキャンペーンに関するRecorded FutureのInsikt Group報告書によると、このグループは主にジョージア、ポーランド、ウクライナの政府、軍事、国家インフラを標的にしていました。
報告書はまた、モスクワのイラン大使館、オランダのイラン大使館、スウェーデンのジョージア大使館などの追加の標的も強調した。
APT (Insikt は TAG-70 と呼び、TA473 および UAC-0114 としても知られています) は、高度なソーシャル エンジニアリング技術を利用して、 Roundcube のゼロデイエクスプロイト 運輸部門や教育部門から化学や生物学の研究組織に至るまで、少なくとも 80 の個別の組織にわたる標的型メール サーバーに不正アクセスすること。
インシクト氏によると、この作戦は欧州の政治・軍事情勢に関する情報収集を目的として展開され、戦略的優位性を得たり、欧州の安全保障や同盟を損なう可能性があると考えられている。
このグループはベラルーシとロシアの利益にかなうサイバースパイ活動を行っている疑いがあり、少なくとも2020年XNUMX月から活動を続けている。
Winter Vivern のサイバースパイ活動に対する地政学的な動機
70月のキャンペーンは、2023年XNUMX月にInsikt Groupによって報告された、ウズベキスタン政府のメールサーバーに対するTAG-XNUMXの以前の活動に関連していた。
ウクライナを標的とする明らかな動機はロシアとの紛争である。
「ウクライナで進行中の戦争に関連して、追加の軍事的および経済的支援を求めているウクライナの戦争努力と計画、関係、パートナー国との交渉に関する機密情報が、侵害された電子メールサーバーによって漏洩する可能性があり、[これにより] 協力している第三者が暴露される可能性があります」ウクライナ政府と非公式に会談し、ウクライナを支援する連合内の亀裂を明らかにした」とインシクト報告書は指摘した。
一方、ロシアとオランダのイラン大使館への焦点は、特にウクライナ紛争におけるロシア支援へのイランの関与を考慮して、イランの進行中の外交活動や外交政策上の立場を評価する動機と結びついている可能性がある。
同様に、スウェーデンのグルジア大使館とグルジア国防省を標的としたスパイ活動は、特にグルジアが初期のロシアのウクライナ侵攻の影響で欧州連合加盟とNATO加盟の追求を活発化させていることから、おそらく同様の外交政策主導の目的から生じていると考えられる。 2022年。
その他の注目すべき標的には物流業界や輸送業界に関わる組織も含まれており、これはウクライナ戦争の背景に基づいて物語られており、強固な物流ネットワークが戦闘能力を維持する上で双方にとって重要であることが証明されている。
サイバースパイ防御は難しい
サイバースパイ活動が活発化:今月初め、ロシアの洗練されたAPTが攻撃を開始 打ち上げ ウクライナ軍に対するターゲットを絞った PowerShell 攻撃キャンペーンであり、別のロシアの APT、Turla は、ポーランドの NGO をターゲットにしました。 新しいバックドア マルウェア.
ウクライナもまた、 ロシアに対して独自のサイバー攻撃を開始は、ロシアが支援するキエフスター携帯電話事業者への侵害に対する報復として、9月にモスクワのインターネットサービスプロバイダーMXNUMXテレコムのサーバーを標的とした。
しかし、Insikt Group のレポートでは、このような攻撃に対する防御は、特にゼロデイ脆弱性悪用の場合には困難になる可能性があると指摘しています。
ただし、組織は電子メールを暗号化し、特に機密情報を送信するための安全な通信の代替形式を検討することで、侵害の影響を軽減できます。
すべてのサーバーとソフトウェアにパッチを適用して最新の状態に保つことも重要であり、ユーザーは信頼できる連絡先からのメールのみを開く必要があります。
また、組織は、適切な衛生管理を実践し、データ保持を削減することで、メール サーバーに保存される機密情報の量を制限し、機密情報と会話を可能な限りより安全なハイサイド システムに制限する必要があります。
報告書はまた、脆弱性、特に TAG-70 などの APT 攻撃者によって悪用された脆弱性を責任を持って開示することが、いくつかの理由から重要であると指摘しています。
Recorded Future の Insikt Group の脅威インテリジェンス アナリストは、このアプローチにより、脆弱性が他人に発見され悪用される前に迅速にパッチが適用され、修正されることが保証され、高度な攻撃者によるエクスプロイトの封じ込めが可能になり、広範囲かつ急速な被害を防ぐことができると電子メールで説明しました。
「最終的に、このアプローチは差し迫ったリスクに対処し、世界的なサイバーセキュリティ慣行の長期的な改善を促進します」とアナリストは説明しました。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyberattacks-data-breaches/russian-apt-winter-vivern-targets-european-government-military