Google: ウクライナは、2023 年にロシアのフィッシング攻撃の 60% の標的にされました

Google の脅威分析グループ (TAG) は、2023 年にウクライナの重要なインフラストラクチャを標的とした、ロシア政府が支援するサイバー攻撃を監視し、阻止してきました。

Google の報告によると、2023 年 1 月から 3 月にかけて、ウクライナはロシアから発信されたフィッシング攻撃の約 60% を受け取り、最も顕著な標的となっています。

ほとんどの場合、キャンペーンの目的には、情報収集、運用の混乱、およびウクライナに情報損害を与えることを専門とする Telegram チャネルを介した機密データの漏えいが含まれます。

Table of contents

ウクライナで活動している脅威グループ

Google の TAG には、今年の第 1 四半期にウクライナの標的に対して顕著な活動を行った 3 人のロシアとベラルーシの脅威アクターがリストされています。

1 つ目は、Google が「FrozenBarents」として追跡している Sandworm で、2022 年 11 月以降、ヨーロッパ全体のエネルギーセクターに攻撃を集中させており、カスピ海パイプラインコンソーシアム (CPC) が関与するケースが注目されています。

Sandworm は最近、ウクライナの防衛産業の労働者、Ukr.net プラットフォームのユーザー、さらにはウクライナの Telegram チャネルに対して、偽装した「Ukroboronprom」Web サイトを使用した複数のフィッシングキャンペーンを開始しました。

また、この脅威グループは複数のオンラインペルソナを作成して、YouTube や Telegram で虚偽の情報を広め、多くの場合、フィッシングやネットワークへの侵入によって盗んだデータの一部を漏らしています。

もう 1 つの非常に活発なロシアの脅威アクターは APT28 であり、Google によって「FrozenLake」として追跡されています。

2023 年 2 月から 3 月にかけて、APT28 はウクライナ人を標的とした大規模なフィッシングメールを複数回送信しました。ハッカーはまた、ウクライナ政府の Web サイトで反射型クロスサイトスクリプティング (XSS) を使用して、訪問者をフィッシングページにリダイレクトしました。

今週、英国の NCSC、FBI、NSA、および CISA による共同発表で、APT28 がCisco ルーターをハッキングしてカスタムマルウェアをインストールしていると警告しました。

Google のレポートで強調されている 3 番目の攻撃者は「Pushcha」であり、クレムリンと政治的に連携している国であるベラルーシに拠点を置くと考えられています。

Pushcha は最近、「i.ua」や「meta.ua」などのウクライナの Web メールプロバイダーを標的とするキャンペーンを開始し、偽のサイトを設定してユーザーの資格情報を盗もうとしました。

Google のレポートでは、YouTube や Blogger などのプラットフォームでの誤った情報の事例も強調されています。

「2023 年の第 1 四半期に、TAG は、インターネット研究機関 (IRA) に所属する攻撃者が、YouTube などの Google 製品でコンテンツを作成する組織的な IO キャンペーンを観測しました。これには、互いの動画にコメントしたり、賛成票を投じたりすることが含まれます。」

IRA (Glavset) は、ワグナーグループの所有者である Y. Prigozhin に関連するロシアの会社であり、ロシアの政治的利益のためにオンラインプロパガンダと影響力のある活動に従事しています。

Google は、ウクライナでの戦争に関する特定の「ニュースのような」物語をロシア国内の視聴者に宣伝するために、YouTube ショートでコンテンツを作成する IRA 関連のアカウントを監視し、ブロックしていると報告しています。

上記のキャンペーンにリンクされたすべての Web サイトは、Google の「セーフブラウジング」ブロックリストに追加されました。一方、標的となった Gmail および Workspace ユーザーは、悪意のある通信について通知するアラートを受け取りました。