今年に入ってから、ロシア国家に支援されたハッキング・グループColdRiverは、新しいLostKeysマルウェアを使って、欧米の政府、ジャーナリスト、シンクタンク、非政府組織などを標的にしたスパイ攻撃でファイルを盗んでいる。
12月、英国とファイブ・アイズの同盟国は、ColdRiverをロシアの防諜・内部保安機関である連邦保安庁(FSB)と関連付けた。
Google Threat Intelligence Group(GTIG)は1月、LostKeyがClickFixのソーシャル・エンジニアリング攻撃の一環として「非常に選択的なケースで導入」されていることを初めて確認しました。
これらのスクリプトを実行すると、被害者のデバイス上で追加のPowerShellペイロードがダウンロード・実行され、最終的にVisual Basic Script(VBS)データ窃取マルウェアがLOSTKEYSとしてGoogleによって追跡されました。
「LOSTKEYSは、ハードコードされた拡張子やディレクトリのリストからファイルを窃取し、システム情報や実行中のプロセスを攻撃者に送信します。
「COLDRIVERの典型的な動作は、認証情報を盗み出し、それを使ってターゲットから電子メールや連絡先を盗み出すことですが、私たちが以前に文書化したように、ターゲットシステム上の文書にアクセスしたい場合は、SPICAと呼ばれるマルウェアをターゲットを選択して展開することもあります。LOSTKEYSは同様の目的を達成するために設計されており、非常に選択的な場合にのみ展開される」。
クリックフィックス攻撃で標的のデバイスをハッキングしている国家を後ろ盾とする脅威グループはColdRiverだけでなく、Kimsuky(北朝鮮)、MuddyWater(イラン)、APT28、UNK_RemoteRogue(ロシア)もここ数ヶ月のスパイ活動でこれらと同じ手口を使っている。
Star Blizzard、Callisto Group、Seaborgiumとしても追跡されているColdRiverハッキンググループは、少なくとも2017年以降、ソーシャルエンジニアリングとオープンソースインテリジェンス(OSINT)のスキルを使ってターゲットを調査し、誘い込んできた。
ファイブ・アイズのサイバー機関も、ロシアがウクライナに侵攻した数カ月後の2023年12月に、防衛、政府組織、NGO、政治家に対するColdRiverのスピアフィッシング攻撃について警告しており、これらの攻撃は防衛産業の標的や米エネルギー省の施設も標的にするように拡大した。
2022年、マイクロソフト脅威インテリジェンスセンター(MSTIC)は、攻撃者がマイクロソフトのアカウントを使用して電子メールを採取し、NATO諸国の組織や高名な個人の活動を監視するColdRiverのソーシャルエンジニアリング 活動を 阻止 しました。
米国務省は2023年12月、ColdRiverのオペレーター2人(うち1人はロシア連邦保安庁職員)に制裁を科しました。この2人は、ロシア政府が組織した世界的なハッキング・キャンペーンに関与したとして、米司法省にも起訴されました。
国務省は現在、法執行機関が他のColdRiverメンバーの居場所を突き止めたり、特定したりするのに役立つ情報提供に対して、最高1000万ドルの報奨金を提供している。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニックのトップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments