Google Threat Analysis Group は、「東ヨーロッパにおけるサイバー活動の追跡」というタイトルの投稿を公開しました。 その中で、Google の専門家は、ロシアのハッカーが NATO コンピテンス センターに対して非常に的を絞ったフィッシング攻撃をどのように実行したかを説明しています。 グループ COLDRIVER が担当する必要があります。
カリストと呼ばれることもあるロシアを拠点とする脅威アクターであるグループ COLDRIVER は、米国を拠点とする複数の NGO やシンクタンク、バルカン諸国の軍隊、ウクライナを拠点とする防衛会社を標的とした認証情報フィッシング キャンペーンを開始しました。 このグループは、何年も前に F-Secure の専門家 (現在は WithSecure) によって攻撃を観察され、記録されていました。
NATOに対するスピアフィッシング
しかし、TAG は、NATO のセンター オブ エクセレンスだけでなく、いくつかの東ヨーロッパ諸国の軍隊を標的とする COLDRIVER キャンペーンを初めて観察しました。 これらのキャンペーンは、新しく作成された Gmail アカウントを介して Google 以外のアカウントに送信されたため、これらのキャンペーンの成功率は不明です。 これらのキャンペーン中に、Gmail アカウントの侵害に成功したことは確認されていません。
Google によると、COLDRIVER クレデンシャルを使用した以下のフィッシング ドメインが確認されています。
- 保護リンク[.]オンライン
- ドライブシェア[.]ライブ
- 保護局[.]ライブ
- プロトンビューア[.]com
ロイター通信によると、NATO はそのコンピテンス センターへのハッカー攻撃を確認しました。 ただし、NATO はこの攻撃に関する詳細を明らかにしたくありません。 ただし、「悪意のあるサイバー活動が日常的に見られる」と述べています。
詳しくは Blog.google をご覧ください