国家の支援を受けたハッカーたちは、実際のカンファレンスに関する悪意のある文書をおとりにして、サイバーセキュリティに関心のある人々にマルウェアを送り込もうとしている。
国家支援のハッカーたちは、サイバーセキュリティカンファレンスを宣伝する文書を誘い文句として使った最新のキャンペーンでセキュリティ研究者をターゲットにしているようだ。
セキュリティ研究者らに、米国のセキュリティ会議に関する情報を含む「Conference_on_Cyber_Conflict.doc」というタイトルの悪意のある文書が送信されています。 カンファレンスは本物ですが、文書は主催者からのものではありません。カンファレンスの Web サイトからリッピングして Word 文書に投稿したコンテンツが使用されています。
ハッカーが使用しているおとりの性質から、サイバーセキュリティに興味がある、またはサイバーセキュリティに関係している人々をターゲットにしている可能性が高いことがわかります。
キャンペーンの内容が判明しました Cisco Talos の研究者による、彼らはそれがグループ74として知られる作戦によるものであると考えています。 APT28, ソファシー そして ファンシーベア -- クレムリンとつながりのあるロシアのハッキング集団。
このルアー文書には、実際のカンファレンス主催者によって書かれた情報とそのロゴが含まれています。
悪意のあるドキュメントに含まれるマルウェアの亜種である Seduploader は、Fancy Bear による以前のキャンペーンで使用されており、スパイ活動を目的としたマルウェアの投下によく使用されています。
CCDCOEの広報担当者は、「これは明らかに陸軍サイバー研究所とNATO CCDCOEの信頼性を悪用し、サイバーセキュリティの高官や専門家を標的にしようとする試みである」と述べた。
Seduploader は、スクリーンショットの取得、データの抽出、コードの実行、ダウンロードが可能です。 追加ファイルなど - すべてがその目的がスパイ活動と情報窃取であることを示唆しています。 被害者から。
以下も参照してください。 サイバー戦争: オンライン紛争の恐ろしい未来へのガイド
同グループによるこれまでのキャンペーンとは異なり、悪意のある文書にはOfficeエクスプロイトやゼロデイは含まれていない。 むしろ、選択したアプリケーション (この場合は Microsoft Word) 内でコードを実行するように設計された、悪意のある Visual Basic for Applications (VBA) マクロが使用されます。
これは、攻撃者が目的に関連するニュースやイベントをどの程度調査するかを示しています。 最も説得力のあるルアーを作成するためにターゲットを設定します。たとえば、このキャンペーンでは、 サイバーセキュリティ。
セキュリティ業界の人々を直接標的にするのは大胆に見えるかもしれませんが、誰かがその誘惑に引っかかった場合、攻撃者は非常に有益な情報を収集する可能性があります。
関連報道
謎のサイバースパイ活動は「魚雷」というルアーを使ってマルウェアをダウンロードさせる
プルーフポイントの研究者らは、「リヴァイアサン」脅威グループが機密データを盗む目的で定期的にフィッシング攻撃やマルウェア攻撃を仕掛けていると述べている。
この安価で厄介なマルウェアはあなたのデータを盗もうとしています
FormBook マルウェアは、比較的低コストで「広範で強力なインターネット監視エクスペリエンス」を宣伝しており、低レベルの攻撃者でもステルス マルウェアを配布できます。
このランサムウェアを拡散させるボットネットは、デスクトップのスクリーンキャプチャも行うようになります
Necurs ボットネット攻撃にバンドルされた新しいペイロードにより、悪意のあるキャンペーンを実行する者は、キャンペーンが機能しているかどうかを確認し、アップデートを改善することができます。
サイバー犯罪について詳しく読む
- 脆弱なシステムにパッチが適用される前にハッカーが競って Flash エクスプロイトを利用
- ロシアのサイバー攻撃を可視化 [テックリパブリック]
- ファンシーベアが再び攻撃:ロシアのハッカーがサイバー攻撃でIAAF選手の医療データにアクセス
- サイバー探偵はロシアが米国の選挙ハッキングの背後にいるとどのように判断したか [CNET]
- ステルスマルウェアが大使館を標的にしたスヌーピングキャンペーン