執拗にウクライナを狙うロシアの攻撃グループ 「シンプルだからこそ検知されにくい」その手口とは：パロアルトネットワークスが解説

パロアルトネットワークスは、執拗にウクライナを狙っている「Trident Ursa」の動向に関する情報を公開した。ウクライナのサイバーセキュリティリサーチャーに対する脅迫やHTMLファイルを使ったフィッシングの手口などが明らかになった。

[＠IT]

　パロアルトネットワークスは2022年12月20日、「Trident Ursa」（別名：Gamaredon、UAC-0010、Primitive Bear、Shuckworm）の動向について同社のブログで公開した。Trident Ursaは、執拗（しつよう）にウクライナを狙うAPT（Advanced Persistent Threat：持続的標的型攻撃）グループの一つで、パロアルトネットワークスによるとその活動は深く浸透し、侵襲的かつ継続的だという。

　パロアルトネットワークスの脅威分析チーム「Unit 42」は、Trident Ursaの活動指標を積極的に監視しており、過去10カ月間に使われた500個以上の新しいドメインと、200個のサンプル、その他の「IoC」（Indicators of Compromise：侵害指標）をマッピングしたとしている。パロアルトネットワークスによると、Trident Ursaはこれらをフィッシングやマルウェアなどの目的に利用していたという。

「逃げてみろよ、迎えに行くぞ」と脅迫

　Trident Ursaの攻撃は多岐にわたっており、最近ではSNSなどを使ってサイバーセキュリティリサーチャーに脅迫するといった手口も確認されている。サイバーセキュリティリサーチャーグループへの脅迫をUnit 42が発見したのは、ロシアのウクライナ侵攻と同日の2022年2月24日。脅迫した人物は、Trident Ursaと関係するとみられる「Anton」。Twitterを使って脅迫していた。

Mikhail Kasimov氏への脅迫ツイート

　最初のツイートは、侵攻が進む中でAntonがウクライナ在住の脅威リサーチャーMikhail Kasimov氏に対して行った。Antonは、「run, I'm coming for you.（逃げてみろよ、迎えに行くぞ）」と発言している。最初のツイートがあまりに気付いてもらえていないと考えたのか、最後のツイートにはハッシュタグ「#Gamaredon」を付け、他のリサーチャーに発見されやすいようにしていた