Google、PDFで政府要人を狙うロシアの脅威グループ「COLDRIVER」の手口を報告テキストを復号するユーティリティツールが、裏でバックドアを構築

Googleは、ロシアの脅威グループであるCOLDRIVERによる最新の手口を報告した。

» 2024年02月06日 11時30分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Googleの脅威分析グループ(以下TAG)は2024年1月18日(米国時間)、ロシアの脅威グループであるCOLDRIVER(UNC4057、Star Blizzard、Callistoとしても知られる)による、NGO(Non-Governmental Organization)、元情報機関や軍の将校、NATO加盟国の政府要人に対するクレデンシャルフィッシング活動の新しい動きを報告した。

 TAGは長年、ロシア政府の利益に沿ってスパイ活動をしているCOLDRIVERなどの取り組みに対抗し、脅威活動の分析と報告を続けてきた。

 TAGによると、COLDRIVERはウクライナ、NATO諸国、学術機関、NGOに対してクレデンシャルフィッシング攻撃を繰り返している。標的からの信頼を得るため、COLDRIVERはなりすましアカウントを利用して特定分野の専門家であるかのように装ったり、標的の関係者を装ったりする。そして、ターゲットと信頼関係を築いてフィッシングキャンペーンの成功の確率を高めた後、最終的にフィッシングリンクやリンクを含む文書を送信する。

 COLDRIVERは、検知回避能力を向上させるために、戦術/技術/手順(TTP)を進化させており、近年では認証情報を求めるフィッシングにとどまらず、PDFをおとり文書にして、マルウェアを配信している。TAGは判明した既知のドメインとハッシュをセーフブラウジングのブロックリストに追加することで、以下のような脅威活動を妨害してきた。

「PDF内の暗号化されたテキスト」をおとりに

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。