米国のサイバーセキュリティ会社パロアルトネットワークスのユニット42の報告書によると、ウクライナを標的としたロシア関連のハッカー集団が、同国が攻撃を受けていた8月末、NATO加盟国の大手精製会社をハッキングしようとして失敗したという。
Unit 42の研究者らによると、2022年8月30日に行われたハッキング未遂事件は、ウクライナ治安局によってロシア連邦保安庁(FSB)の仕業とされている。しかし、報告書ではNATO加盟国も石油精製会社も特定されていない。
パロアルトネットワークスのユニット 42 がハッキング グループと呼んでいる Trident Ursa は、「最も広範囲に侵入し、継続的に活動し、集中的にウクライナをターゲットとする APT の 1 つ」であり、少なくとも 2014 年から活動を続けています。
以前は、この高度な持続的脅威グループ (APT) は、Gamaredon、UAC-0010、Primitive Bear、Shuckworm とも呼ばれ、主にフィッシングを通じた情報収集活動で知られていました。
ハッカー集団は、標準的なウクライナ語のメッセージに加えて、「軍事支援」などの単語を含む英語名のファイルを「ウクライナとNATOの同盟国に対する情報収集とネットワークアクセス」を強化するために使用していたとユニット42は報告した。
「地上とサイバースペースで紛争が続く中、トライデント・ウルサは専用のアクセス作成者および情報収集者として活動している」とパロアルトネットワークスのユニット42は報告書の中で述べた。
Unit 42 の研究者によると、過去 10 か月間で、Trident Ursa のさまざまなスピア フィッシング キャンペーンやマルウェア目的をサポートする 500 を超える新しいドメイン、200 のサンプル、その他の侵害指標 (IoC) をマッピングしました。また、過去 10 か月間で戦術、技術、手順 (TTP) に複数の変化が見られました。
「このグループの活動は研究者や政府機関によって定期的に捕らえられていますが、それでも彼らは気にしていないようです。彼らは単に追加の難読化、新しいドメイン、新しい技術を追加して再試行し、しばしば以前のサンプルを再利用することさえあります」とレポートは述べています。
失敗に終わった攻撃で使用されたファイル名の一部は、MilitaryassistanceofUkraine.htm、Necessary_military_assistance.rar、および Ukraine.lnk への軍事人道支援の提供に必要な重要事項の詳細です。
サイバー攻撃に加えて、ガマレドングループに関係しているとみられる人物は、2022年2月の最初の軍事侵攻後のハッキンググループの活動に関連するIoCを強調した後、ウクライナを拠点とするサイバーセキュリティ研究者に危害を加えると脅迫した。
キャンペーンの有効性を高めるために、ガマレドン グループはテレグラム ページを使用してコマンド アンド コントロール (C2) サーバーを検索し、セキュリティ対策をバイパスしたほか、高速スワップによって対策に直面しても回復力を維持する高速フラックス DNS 技術も使用しました。そのドメインの IP アドレスを除外するため、それに関連付けられた IP アドレスのリストを拒否することが困難になります。
「Trident Ursa は、運用において過度に高度または複雑な技術を使用しない、機敏で適応性のある APT であり続けます。ほとんどの場合、彼らは、大量の難読化とともに、公開されているツールやスクリプトに依存しており、また、日常的なフィッシング攻撃も利用して、作戦を成功裏に実行しています」と研究者らは結論づけています。
