Telegram を用いたGamaredon の新たな攻撃キャンペーン
Gamaredon Group は長年にわたり、ウクライナの政府機関を標的としています。2022年11月には、ネットワークインフラとして ウクライナ・ロシア両国で最もよく使われるメッセージングサービスTelegram を悪用した Gamaredon のキャンペーンをBlackBerryのResearch & Intelligenceチームが発見しました。<https://blogs.blackberry.com/en/2022/11/gamaredon-leverages-microsoft-office-docs-to-target-ukraine-government>。
今回のキャンペーンは、以前のキャンペーンと同様、高度に標的を絞って武器化した文書を入念に作り込み、配信しています。その悪意あるルアーは実在するウクライナの政府機関の文書を装っており、そうした組織とやり取りする必要があると考えられる人々を標的にしています。
図 –「ウクライナ国家警察」を装った Gamaredon の悪意のあるルアー文書(ウクライナ語で記述)
ウクライナ国内のIPアドレスのみを攻撃
この脅威グループは IP アドレスを動的に変更しているため、サンプルの日数が経過してしまうと、サンドボックス技術による解析の自動化がより困難になります。疑わしい IP アドレスの変更が東ヨーロッパの業務時間内にのみ確認される事実は、脅威アクターが一箇所を活動拠点としており、ウクライナに対し悪意ある作戦を展開する攻撃的なサイバー部隊に所属している可能性が高いことを強く示唆しています。
Gamaredon Group はTelegramのインフラを利用することで、攻撃の明らかな兆候を示すことなく従来のネットワークトラフィック検知手法を回避しています。その多段階のアプローチでは、最初に被害者の位置が確認され、その後で最終的なペイロードへの誘導が行われます。そのため、セキュリティ研究者が全体的な攻撃フローを追跡して最終的なペイロードを発見するためには、より多くの努力が必要となります。
Gamaredon Group の攻撃手法のより詳しい解説は、< https://blogs.blackberry.com/ja/jp/2023/02/gamaredon-abuses-telegram-to-target-ukrainian-organizations >をご覧ください。
BlackBerryについて
BlackBerryは、世界中の企業や政府機関向けに、インテリジェントなセキュリティソフトウェアとサービスを提供しています。BlackBerryのソリューションは、2億1,500万台の自動車をはじめ、5億以上のエンドポイントを保護しています。カナダ・オンタリオ州ウォータールーに本社を置く同社は、AIと機械学習を活用して、サイバーセキュリティ、安全性、およびデータプライバシーソリューションの分野で革新的なソリューションを提供しています。さらに、エンドポイントのセキュリティ管理、暗号化、組み込みシステムなどの主要分野をリードしています。詳細は、BlackBerry.comをご覧ください。
BlackBerry、QNXおよび関連製品の商標の名称およびロゴマーク等は、米国およびその他の国におけるBlackBerry Limitedの登録商標または商標です。その他の社名、製品名などは、一般に各社の商標または登録商標です。BlackBerryは第三者のいかなる製品またはサービスについて責任を負うものではありません。
報道関係者お問い合わせ先
BlackBerry Japan株式会社 広報事務局
電話: 03-4405-9537
Email: BlackBerryPR@next-pr.co.jp