セキュリティ研究者は最近、破壊的なウィスパーゲート マルウェア サイバー攻撃の背後にいたロシアのハッキング クルーが、情報を盗む新しいマルウェアでウクライナのエンティティを標的にしているのを観察したと述べています。
シマンテックの脅威ハンターチームは、 帰属 このキャンペーンは、2021 年初頭から活動している TA471 (または UAC-0056) として広く知られている、ロシアに関連するサイバー脅威アクターに対するものです。このグループは 知られている ロシア政府の利益を支援するために、このグループは主にウクライナを標的にしていますが、北アメリカとヨーロッパの NATO 加盟国に対しても積極的に活動しています。 TA471 は、2022 年 1 月にウクライナの標的に対する複数のサイバー攻撃で使用された破壊的なデータ消去マルウェアである WhisperGate にリンクされています。このマルウェアはランサムウェアになりすましたが、標的のデバイスを完全に操作不能にし、身代金の要求が支払われたとしてもファイルを回復することができません。 .
Symantec によると、ハッキング チームの最新のキャンペーンは、ウクライナの組織を標的とする「Graphiron」と呼ばれる、これまでに見られなかった情報を盗むマルウェアに依存しています。 研究者によると、マルウェアは 2022 年 10 月から少なくとも 2023 年 1 月中旬まで、感染したマシンからデータを盗むために使用されていました。 [hackers’] ツールキット。」
情報を盗むマルウェアは、正規の Microsoft Office ファイルになりすますように設計されたファイル名を使用し、次のような他の TA471 ツールに似ています。 GraphSteel と GrimPlant、特にウクライナの国家機関を標的としたスピア フィッシング キャンペーンの一部として以前に使用されていました。 しかし Symantec によると、Graphiron はスクリーンショットや秘密 SSH キーなど、はるかに多くのデータを盗み出すように設計されています。
Symantec Threat Hunter Team の主任インテリジェンス アナリストである Dick O’Brien 氏は TechCrunch に次のように語っています。
オブライエン氏は、ハッキング クルーの起源や戦略についてはほとんど知られていないものの、TA471 はロシアが進行中のウクライナに対するサイバー キャンペーンの主要なプレーヤーの 1 つになっていると述べました。
TA471 の最新のスパイ活動のニュースは、ウクライナ政府から数日後にもたらされました。 警報を鳴らした UAC-0010 と呼ばれる別のロシアの国営ハッキング グループで、ウクライナの組織に対して頻繁にサイバー攻撃キャンペーンを実施し続けています。
ウクライナの国家サイバー保護センター (State Cyber Protection Centre) は、次のように述べています。 「したがって、これは我が国の組織が直面している主要なサイバー脅威の1つであり続けています。」