ロシア・ウクライナ戦争の前哨戦

SHARE:

ロシアのハッカー集団「ACTINIUM」がウクライナの機関をターゲットにサイバー攻撃を開始。その手法とは?

 ウクライナとロシアの戦争が激化する中、サイバー攻撃は、実弾による両国の戦争の前哨戦となっている。 研究者によると、ロシアのハッカーグループ「ACTINIUM」は、サイバー攻撃のシグネチャ検知を回避し、より高度なマルウェアを展開するための新しい難読化機能を開発した。 また、ACTINIUMは大量のドメイン、IPアドレス、ワードリストを使用してIoCs情報に基づく検出を回避しているため、研究者が脅威を分析、特定することが困難になっている。

研究者の解説
 現代における戦争では、サイバー攻撃は重要な軍事攻撃の一つとなっている。今回の攻撃は、ACTINIUMが急速に進化するサイバー攻撃の技術を駆使し、従来の侵入検知システムの効果を低下させ、マルウェアによってサイバー攻撃をしかけてきたものだ。この攻撃行動から、一般的なマルウェア対策だけでは対応することが困難になっていることが分かる。そのため、当局は敵対国のサイバー活動に特に注意を払い、脅威対策においては、シグネチャ検出だけに頼らないよう対策をとる必要がある。

1,概要
 国境など地理的制限なく活動できるサイバー攻撃は、現代の軍事活動において無視できない主要な軍事攻撃の一つとなっている。 ロシアとウクライナの戦争が激化する中、ウクライナ政府は、ロシア連邦保安庁(FSB)傘下のハッカー集団「ACTINIUM」が、ウクライナ国内の政府機関、軍事機関、司法当局、法執行機関、非政府団体、非営利団体など、主要組織を標的にしていることを発表した。ハッカー集団の目的は、ウクライナ側から機密情報を盗み出すことだ。

2,技術分析
 ACTINIUMは、まず、フィッシングメールでスピアフィッシング攻撃を行い、最初の感染を実行する。 攻撃者はドメイン名で正当な事業者になりすましており、被害者は攻撃されていることをすぐに認識することが難しい。 更に注意すべきは、攻撃者はメールの内容にスクリプトを埋め込んでいるため、被害者がメールを開いたかどうかを確認することが可能である点だ。
偽のドメイン名を使ったフィッシングメール

PR TIMESで本文を見る