執拗にウクライナを狙うロシアの攻撃グループ　「シンプルだからこそ検知されにくい」その手口とは：パロアルトネットワークスが解説

パロアルトネットワークスは、執拗にウクライナを狙っている「Trident Ursa」の動向に関する情報を公開した。ウクライナのサイバーセキュリティリサーチャーに対する脅迫やHTMLファイルを使ったフィッシングの手口などが明らかになった。

» 2022年12月26日 08時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　パロアルトネットワークスは2022年12月20日、「Trident Ursa」（別名：Gamaredon、UAC-0010、Primitive Bear、Shuckworm）の動向について同社のブログで公開した。Trident Ursaは、執拗（しつよう）にウクライナを狙うAPT（Advanced Persistent Threat：持続的標的型攻撃）グループの一つで、パロアルトネットワークスによるとその活動は深く浸透し、侵襲的かつ継続的だという。

　パロアルトネットワークスの脅威分析チーム「Unit 42」は、Trident Ursaの活動指標を積極的に監視しており、過去10カ月間に使われた500個以上の新しいドメインと、200個のサンプル、その他の「IoC」（Indicators of Compromise：侵害指標）をマッピングしたとしている。パロアルトネットワークスによると、Trident Ursaはこれらをフィッシングやマルウェアなどの目的に利用していたという。

「逃げてみろよ、迎えに行くぞ」と脅迫

　Trident Ursaの攻撃は多岐にわたっており、最近ではSNSなどを使ってサイバーセキュリティリサーチャーに脅迫するといった手口も確認されている。サイバーセキュリティリサーチャーグループへの脅迫をUnit 42が発見したのは、ロシアのウクライナ侵攻と同日の2022年2月24日。脅迫した人物は、Trident Ursaと関係するとみられる「Anton」。Twitterを使って脅迫していた。

Mikhail Kasimov氏への脅迫ツイート

　最初のツイートは、侵攻が進む中でAntonがウクライナ在住の脅威リサーチャーMikhail Kasimov氏に対して行った。Antonは、「run, I'm coming for you.（逃げてみろよ、迎えに行くぞ）」と発言している。最初のツイートがあまりに気付いてもらえていないと考えたのか、最後のツイートにはハッシュタグ「#Gamaredon」を付け、他のリサーチャーに発見されやすいようにしていた

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

サイバーセキュリティ市場シェア調査　高成長分野を制するベンダーは？
Canalysによると、2022年第3四半期のサイバーセキュリティ市場の世界売上高は、前年同期比15.9％増の178億ドルとなった。
「サプライチェーン攻撃」とは何か？　弱点を発見する方法は？　どう対策すべきか？
あらゆる業種、あらゆる規模の組織が“自分事”として捉えられるよう「サプライチェーン攻撃」の現状と対策を整理する特集『日本のIT課題の集大成「サプライチェーン攻撃」に立ち向かう術はあるのか』。初回は、日本ハッカー協会代表理事の杉浦隆幸氏の講演「サプライチェーン攻撃の実態」をレポートする。
セキュリティ人材不足、日本は「過去10年間改善が見られない」　NRIセキュアテクノロジーズ
NRIセキュアテクノロジーズは、日本、米国、オーストラリアの3カ国で実施した「企業における情報セキュリティ実態調査2022」の結果を発表した。それによるとCISOを設置している企業の割合は、米国の96.2％、オーストラリアの96.0％に対して日本は39.4％と大幅に低かった。