ウクライナのセキュリティ・サービス(SSU)になりすました攻撃者が、悪意のあるスパムメールを使用して、ウクライナの政府機関のシステムを標的にし、侵害しました。
月曜日、ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、攻撃者が100台以上のコンピュータをAnonVNCマルウェアに感染させることに成功したことを明らかにした。
いくつかのサンプルは、中国企業(Shenzhen Variable Engine E-commerce Co Ltd)のコード署名証明書を使って署名されていました。
“こんにちは、多くの組織の包括的な検査に関連して、私はSBUの主要な局長に提出するよう求めています 住所01601、キエフ1、str.Malopodvalna, 16に、2024年8月15日まで要求文書のリストを提出してください。公式要請書をダウンロードする:Dokumenty.zip “と悪質な電子メールには書かれており、SSUが要求する文書リストを装った添付ファイルにリンクしている。
これらの攻撃は1カ月以上前の7月12日ごろから始まっており、Documents.zipアーカイブへのハイパーリンクを送信する電子メールによって、代わりにマルウェアを展開するように設計されたgbshost[.]netからのWindowsインストーラMSIファイルがダウンロードされるようになっていた。
CERT-UAは、このマルウェアの機能について正確な説明はしていませんが、UAC-0198として追跡されている脅威グループが、侵害されたコンピュータに秘密裏にアクセスすることを可能にしたと述べています。
「CERT-UAは、「CERT-UAは、特に中央および地方政府機関の間で、影響を受けた100台以上のコンピュータを特定した。
“関連するサイバー攻撃は少なくとも2024年7月以降行われており、より広範囲に及んでいる可能性があることに注意”
攻撃を受けるウクライナ
先月、サイバーセキュリティ会社Dragosは、2024年1月下旬のサイバー攻撃で、ロシアにリンクしたFrostyGoopマルウェアが使用され、氷点下の気温の中、ウクライナのリヴィウにある600棟以上のアパートの暖房を2日間遮断したことを明らかにした。
FrostyGoopは、野生で発見された9番目のICSマルウェアであり、その多くはロシアの脅威グループと関連している。MandiantはCosmicEnergyを発見し、ESETはSandwormのハッカーがウクライナのエネルギー・プロバイダーへの攻撃に失敗した際に使用したIndustroyer2を発見した。
CERT-UAは4月にも、悪名高いロシア軍のハッキング・グループSandwormが、ウクライナの20のエネルギー、水道、暖房の重要インフラ組織を標的にし、場合によっては侵入したことを明らかにした。
12月には、サンドワームはウクライナ最大の電気通信サービス・プロバイダーであるキエフスターのネットワークにも侵入し、数千のシステムを消去した。CERT-UAが10月に明らかにしたように、2023年5月以降、全部で11のウクライナの通信サービス・プロバイダーのネットワークに侵入した。
ウクライナ国防省の主情報総局(GUR)もまた、ロシア宇宙水文気象センター、ロシア連邦航空輸送庁、ロシア連邦税務局への侵入の責任を以前に主張した後、3月にロシア国防省をハッキングしたと主張している。
Comments