マサチューセッツ州ウォーバーン – 19 年 2023 月 XNUMX 日 – カスペルスキーの研究者は、次の詳細を提供しています。 コモンマジック このキャンペーンは、ロシアとウクライナの紛争地域の企業を標的としたXNUMX月に初めて観察された。 新しい調査では、同じ脅威アクターによるより洗練された悪意のある活動が明らかになりました。 調査では、新たに発見された枠組みが、被害者をウクライナ中央部と西部の組織にまで拡大していることが判明した。 カスペルスキーの専門家は、この未知の攻撃者を、Operation BugDrop や Operation Groundbai (Prikormka) などの以前の APT キャンペーンと関連付けています。
2023 年 XNUMX 月に、カスペルスキー 報告 ロシアとウクライナの紛争地域における新たなAPTキャンペーン。 CommonMagic と名付けられたこのキャンペーンは、PowerMagic と CommonMagic インプラントを利用してスパイ活動を実施します。 2021 年 XNUMX 月から活動しており、これまで未確認のマルウェアを使用して、標的となったエンティティからデータを収集しています。 この攻撃を実行した攻撃者は当時不明のままでしたが、カスペルスキーの専門家はさらなる洞察を収集するために、未知の活動を忘れられたキャンペーンにまで遡って調査を続けてきました。
最近明らかになったキャンペーンでは、CloudWizard と呼ばれるモジュール式フレームワークが利用されていました。 カスペルスキーの調査では、このフレームワーク内に合計 9 つのモジュールが存在し、それぞれがファイルの収集、キーロギング、スクリーンショットのキャプチャ、マイク入力の録音、パスワードの盗用など、明確な悪意のあるアクティビティを担当していることが判明しました。 特に、モジュールの XNUMX つは Gmail アカウントからのデータの抽出に焦点を当てています。 このモジュールは、ブラウザ データベースから Gmail Cookie を抽出することで、アクティビティ ログ、連絡先リスト、およびターゲットのアカウントに関連付けられたすべての電子メール メッセージにアクセスし、密かに持ち込むことができます。
さらに研究者らは、このキャンペーンにおける被害者の分布が拡大していることを明らかにした。 以前の標的は主にドネツク、ルハンシク、クリミア地域であったが、現在は範囲が広がり、ウクライナ西部および中央部の個人、外交機関、研究機関が含まれるようになった。
CloudWizard に関する広範な調査を行った結果、Kaspersky の専門家は、CloudWizard が既知の攻撃者によるものであるとの結論に大きく前進しました。 彼らは、CloudWizard と、以前に文書化された XNUMX つのキャンペーン、Operation Groundbait と Operation BugDrop の間に顕著な類似点があることを観察しました。 これらの類似点には、コードの類似性、ファイルの命名とリストのパターン、ウクライナのホスティング サービスによるホスティング、西ウクライナと中央ウクライナ、および東ヨーロッパの紛争地域で共有された被害者プロフィールが含まれます。
さらに、CloudWizard は、最近報告されたキャンペーン CommonMagic との類似性も示しています。 コードの一部のセクションは同一であり、同じ暗号化ライブラリを使用し、同様のファイル命名形式に従っており、東ヨーロッパの紛争地域内の被害者の位置を共有しています。
これらの調査結果に基づいて、カスペルスキーの専門家は、Prikormka、Operation Groundbait、Operation BugDrop、CommonMagic、および CloudWizard の悪意のあるキャンペーンはすべて、同じアクティブな脅威アクターによるものである可能性があると結論付けています。
カスペルスキーのグローバル調査分析チームのセキュリティ研究者、ジョージー・クチェリン氏は、「これらの作戦を担当する攻撃者は、XNUMX年以上にわたって継続的にツールセットを強化し、関心のある組織を標的にし、サイバースパイ活動への執拗かつ継続的な取り組みを実証してきた」と述べた。 「地政学的要因は依然としてAPT攻撃の重要な動機となっており、ロシアとウクライナの紛争地域で蔓延している緊張を考慮すると、この攻撃者は予見可能な将来にわたって活動を継続すると予想されます。」
Securelist の CloudWizard キャンペーンに関する完全なレポートをお読みください。
既知または未知の攻撃者による標的型攻撃の被害に遭わないように、カスペルスキーの研究者は次の対策を講じることを推奨しています。
- SOC チームに最新の脅威インテリジェンス (TI) へのアクセスを提供します。 カスペルスキー脅威インテリジェンス ポータル は、同社の TI の単一アクセス ポイントであり、Kaspersky が 20 年以上にわたって収集したサイバー攻撃データと洞察を提供します。
- サイバーセキュリティ チームのスキルを向上させて、最新の標的型脅威に対処します。 カスペルスキーのオンライン トレーニング GReATの専門家によって開発されました
- エンドポイント レベルの検出、調査、インシデントのタイムリーな修復のために、次のような EDR ソリューションを実装します。 Kaspersky Endpoint の検出と対応
- 必須のエンドポイント保護の導入に加えて、次のような高度な脅威をネットワーク レベルで早期に検出する企業レベルのセキュリティ ソリューションを実装します。 Kaspersky Anti-Targeted Attack Platform
- 多くの標的型攻撃はフィッシングやその他のソーシャル エンジニアリング手法から始まるため、セキュリティ意識向上トレーニングを導入し、チームに実践的なスキルを教えます。 Kaspersky 自動セキュリティ認識プラットフォーム
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
- PREIPO® を使用して PRE-IPO 企業の株式を売買します。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/attacks-breaches/commonmagic-apt-campaign-broadens-target-scope-to-central-and-western-ukraine
