ベラルーシに繋がりを持つハッカー集団「**GhostWriter**」（UNC1151、Storm-0257とも呼ばれる）が、ウクライナ政府関係者を標的とした新たな諜報活動キャンペーンを開始しました。このキャンペーンでは、ウクライナで人気のオンライン学習プラットフォーム「**Prometheus**」からのメッセージを装った巧妙なフィッシングメールを利用して、マルウェアを配信しています。 ウクライナのコンピュータ緊急対応チーム「**CERT-UA**」によると、このキャンペーンは2024年春から活動しており、政府機関の従業員に対し、侵害されたアカウントから送信されるフィッシングメールが含まれています。 ### フィッシングスキームの詳細 このメールは、オンラインコース修了の証明書を提供するという名目で、「**Prometheus**」からの正規のメッセージのように見せかけて作成されています。「**Prometheus**」は、プログラミング、ビジネス、行政、軍事サービス、さらにはドローン工学に関連するコースなど、幅広いコースを提供しており、効果的な餌となっています。 ### GhostWriterの犯行手口 ベラルーシ国家情報機関と関連付けられている攻撃者である「**GhostWriter**」は、ウクライナ軍関係者、ポーランド政府機関、および地域の他の関係者を標的とした実績があります。過去の戦術には、認証情報窃取や影響力工作が含まれます。 ### マルウェア配信と感染チェーン フィッシングメールには、悪意のあるリンクを含むPDF添付ファイルが含まれています。このリンクは、OysterFreshとして特定されたマルウェアを含むZIPアーカイブをダウンロードします。マルウェアチェーンはさらに、OysterBluesおよびOysterShuckとして知られるコンポーネントを展開します。 これらのコンポーネントは、感染したデバイスからシステム情報を収集し、**Cloudflare**の背後に隠された攻撃者制御下のインフラストラクチャに送信するように設計されています。 ### データ漏洩とCobalt Strikeの展開の可能性 「**CERT-UA**」は、マルウェアがコンピュータ名、オペレーティングシステムバージョン、ユーザーアカウント情報、実行中のプロセスのリストなど、包括的な詳細情報を収集していると報告しています。同機関はまた、侵害されたシステムが、サイバー犯罪者や国家支援グループによって悪用されることが多い正規のペネトレーションテストツールである**Cobalt Strike**に関連するペイロードを受け取る可能性があると警告しています。 ### Deltaシステムを標的とした最近の諜報活動キャンペーン この警告は、「**CERT-UA**」がウクライナの戦場管理および状況認識システムであるDeltaのユーザーを標的とした別の諜報活動キャンペーンについて最近開示したことに続くものです。その作戦では、攻撃者はウクライナのサイバーセキュリティ機関からのアラートを装ったフィッシングメールを送信し、受信者に対しDeltaアカウントへの不正アクセスがあったと警告していました。