Trend Microは、ロシア政府が支援するサイバー攻撃者「Earth Koshchei」(別名「APT29」または「Cozy Bear」)が、スピアフィッシングメールを利用して被害者を不正なリモートデスクトッププロトコル(RDP)リレーに接続させようとしていると警告しています。
Trend Microは次のように説明しています。
「Earth Koshcheiの不正RDPキャンペーンは、10月22日に最も多く実施されており、この日にスピアフィッシングメールが、政府機関や軍、シンクタンク、学術研究者、ウクライナの重要な標的に送信されました。これらのメールは、受信者を騙し、メールに添付された不正なRDP構成ファイルを使用させるものでした。このファイルを開くと、標的のコンピューターは、Earth Koshcheiが設置した193のRDPリレーのいずれかを介して、外国のRDPサーバーに接続するように指示されます。」
Trend Microは、このスピアフィッシングキャンペーンの規模が、他のAPTグループによる同様の攻撃をはるかに上回っていると強調しています。
Trend Microのリサーチャーは次のように指摘しています。
「このRDPキャンペーンの規模は非常に大きく、1日に確認された重要性の高い標的の数(約200件)は、Pawn Stormのような別のAPTグループが数週間かけて攻撃する規模に匹敵します。Earth Koshcheiが大規模なスピアフィッシングキャンペーンを展開したのは今回が初めてではありません。2021年5月にも、数千の個人アカウントにスピアフィッシングメールを送信しています。」
攻撃者は、今回のキャンペーンの準備として200以上のフィッシングドメインを登録し、侵害した正規のメールサーバーを利用してスピアフィッシングメールを送信していました。
Trend Microのリサーチャーは、この大規模スピアフィッシングキャンペーンについて、次のように述べています。
「2024年8月に登録されたドメイン名は、ヨーロッパ、米国、日本、ウクライナ、オーストラリアの政府および軍事機関を標的にしていることを示しています。今月末にはクラウドプロバイダーやIT企業に関連すると思われるドメイン名が登録されています。また2024年9月には、シンクタンクや非営利団体に関連すると思われる一連のドメイン名が見つかり、Zoom、Google Meet、Microsoft Teamsといったオンライン会議プラットフォームに関連する複数のドメイン名も確認されています。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。
詳細については、Trend Microの記事を参照してください。
原典:Stu Sjouwerman著 2024年12月23日発信 https://blog.knowbe4.com/russias-apt29-launches-major-spear-phishing-cpaign