Google、PDFで政府要人を狙うロシアの脅威グループ「COLDRIVER」の手口を報告：テキストを復号するユーティリティツールが、裏でバックドアを構築

Googleは、ロシアの脅威グループであるCOLDRIVERによる最新の手口を報告した。

» 2024年02月06日 11時30分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Googleの脅威分析グループ（以下TAG）は2024年1月18日（米国時間）、ロシアの脅威グループであるCOLDRIVER（UNC4057、Star Blizzard、Callistoとしても知られる）による、NGO（Non-Governmental Organization）、元情報機関や軍の将校、NATO加盟国の政府要人に対するクレデンシャルフィッシング活動の新しい動きを報告した。

　TAGは長年、ロシア政府の利益に沿ってスパイ活動をしているCOLDRIVERなどの取り組みに対抗し、脅威活動の分析と報告を続けてきた。

　TAGによると、COLDRIVERはウクライナ、NATO諸国、学術機関、NGOに対してクレデンシャルフィッシング攻撃を繰り返している。標的からの信頼を得るため、COLDRIVERはなりすましアカウントを利用して特定分野の専門家であるかのように装ったり、標的の関係者を装ったりする。そして、ターゲットと信頼関係を築いてフィッシングキャンペーンの成功の確率を高めた後、最終的にフィッシングリンクやリンクを含む文書を送信する。

　COLDRIVERは、検知回避能力を向上させるために、戦術／技術／手順（TTP）を進化させており、近年では認証情報を求めるフィッシングにとどまらず、PDFをおとり文書にして、マルウェアを配信している。TAGは判明した既知のドメインとハッシュをセーフブラウジングのブロックリストに追加することで、以下のような脅威活動を妨害してきた。

「PDF内の暗号化されたテキスト」をおとりに

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

「ゼロトラスト」でなければランサムウェアギャングと戦えない理由――いま企業はハイブリッド戦争の前哨戦の渦中にある
2023年6月、ITmedia Security Week 2023 夏で、多摩大学ルール形成戦略研究所客員教授西尾素己氏が「ゼロトラスト。バズワードと化した最重要課題を今一度紐解く。」と題して講演した。
Cisco、多要素認証のないVPNを狙うランサムウェア「Akira」を報告
Cisco Systemsは多要素認証が設定されていないVPNを標的にしたランサムウェア「Akira」を報告した。
GIGABYTE製マザーボードのファームウェア更新機能に中間者攻撃リスク　数百モデルに影響
サイバーセキュリティ企業のEclypsiumは、GIGABYTE製マザーボードのUEFIファームウェアやソフトウェアを更新する機能でバックドアに類似した仕組みが採用されており、サイバー攻撃に悪用される恐れがあることを明らかにした。