Googleの脅威分析グループ(Threat Analysis Group:TAG)によると、ロシアのハッカー集団「COLDRIVER」が非政府組織(NGO)や元諜報機関、軍関係者、NATO政府の高名な個人を対象に認証情報フィッシング活動を行っているとして注意喚起を行っている。
COLDRIVERは認証情報を入手するだけでなく、マルウェアも併用していることからも従来の脅威を超えるものとされている。
COLDRIVERは、ウクライナ、NATO諸国、学術機関、NGOに対するクレデンシャルフィッシングに焦点を当てており、特に専門家や関係者のアカウントになりすまし、偽の信頼関係を構築しているという。
また最近の調査では、COLDRIVERはPDFドキュメントを使用してマルウェアを配信する新たな手法を取り入れていることも確認されているとのこと。
これは、無害なPDFドキュメントを送りつけ、開いた場合にテキストを暗号化するというもので、ターゲットが復号できないと応答した場合に復号ユーティリティへのリンクを提供するが、実際にはバックドアとなる潜在的なマルウェアを潜り込ませる手法だという。
セキュリティ専門家は、COLDRIVERの進化に対抗するため、検出回避能力向上の戦術、技術、および手順(TTP)を注意深く監視しているとのこと。
また、Googleのセキュリティチームは、検出されたすべてのWebサイト、ドメイン、ファイルをセーフブラウジングに追加し、ユーザーを悪用から保護する対策を講じている。
なお、今後企業や個人もターゲットにされる可能性があることを認識し、対策を講じることを求めている。
【参考記事】
Russian threat group COLDRIVER expands its targeting of Western officials to include the use of malware
https://blog.google/threat-analysis-group/google-tag-coldriver-russian-phishing-malware/
