2020 年 7 月、 Mandiant Threat Intelligenceは、「Ghostwriter」と名付けた進行中のインフルエンス キャンペーンの詳細を示す公開レポートをリリースしました。ゴーストライターは、主にリトアニア、ラトビア、ポーランドの視聴者をターゲットにして、東ヨーロッパにおける北大西洋条約機構 (NATO) のプレゼンスに批判的な物語を促進する、サイバー対応の影響キャンペーンです。公開レポートを公開して以来、Mandiant Intelligence のお客様に向けて、Ghostwriter の活動に関する調査と報告を続けてきました。発生した新しいインシデントを追跡し、2020 年にキャンペーンを正式に特定する何年も前にさかのぼる活動を特定しました。当社の情報運用分析、サイバー スパイ活動分析、および Mandiant Research チームによる新しいレポートは、 Ghostwriter に関する最新情報を提供し、2 つの重要な進展を強調しています。
2020 年 7 月のレポートをリリースして以来、Ghostwriter の活動に関連する物語、ターゲティング、および TTP の拡大を観察してきました。たとえば、最近のいくつかの作戦では、政治的権利に関するポーランド当局者の侵害されたソーシャル メディア アカウントを大いに活用して、NATO への不信を助長するのではなく、ポーランド国内の政治的混乱を引き起こすことを意図していると思われるコンテンツを公開しています。ポーランド語と英語で行われたこれらの操作は、ウェブサイトの侵害、なりすましメール、偽の人物からの投稿など、以前のゴーストライターの活動で通常観察された拡散経路にほとんど依存していないようです。これらのソーシャル メディア プラットフォーム自体が侵害されたという証拠は確認されておらず、標的となった個人の侵害された電子メール アカウントを使用してアカウント資格情報が取得されたと考えています。
最近取得された技術的証拠により、資格情報の収集とマルウェア キャンペーンに関与する国家支援のサイバー スパイ活動の疑いのある UNC1151 が、Ghostwriter 影響活動の少なくとも一部のコンポーネントを実行していることを、高い信頼性で評価することができます。 Web サイトの侵害や偽のペルソナの操作に関するギャップを含む、現在のインテリジェンス ギャップにより、現時点で、Ghostwriter キャンペーンのすべての側面を UNC1151 に帰属させることはできません。 UNC1151 は、以前に追跡された他の脅威グループと関連付けられていません。 2021 年の初めから、UNC1151 は資格情報の盗難活動を拡大し、ドイツの政治家を標的にしています。このターゲティングは、ドイツのTagesschauで公に報告されています。
レポートの付録には、Ghostwriter の活動に現在関連付けられているインシデントと操作の完全な表、最近の Ghostwriter 操作の詳細なケース スタディ、および UNC1151 に関連する侵害の兆候 (IOC) が含まれています。
詳細については、今すぐレポートをお読みください。
Comments