ウクライナのコンピューター緊急対応チーム(CERT-UA)は、最近、ロシアのハッカーグループAPT28に対する警告を発表し、同グループがウクライナの政府機関や企業を攻撃していることを明らかにしました。APT28は、システム管理者になりすましてフィッシングメールを送信し、受信者にPowerShellコマンドを実行させ、その後、機密情報を盗むために受信者のコンピューターを利用します。
APT28の攻撃手法は、一般的なフィッシングメール攻撃とは異なります。APT28は、被害者の所属組織の実際のシステム管理者の名前を使用してOutlook.comメールアカウントを登録し、フィッシングメールを送信します。フィッシングメールは、その管理者から送信されたかのように見せかけ、被害者をより簡単に騙すことができます。一旦被害者がPowerShellコマンドを実行すると、攻撃者は、tasklistやsysteminfoコマンドなどを使用してコンピューターを偵察し、コンピューターのシステム情報を収集し、特定のMocky APIにHTTPリクエストを送信して、この情報を攻撃者側に送信します。
CERT-UAは、システム管理者が重要なコンピューターのPowerShell機能を制限し、Mockyサービスへの接続に異常なトラフィックが存在しないか監視することを提案しています。これにより、組織のセキュリティが脅かされた場合でも、より迅速に対応できるため、組織を保護することができます。
また、このような攻撃を防止する最善の方法の一つは、ユーザーのセキュリティ意識を高めることです。組織は、フィッシングメールを認識し、不審なファイルを開かない方法、強力なパスワードを作成し、定期的に変更する方法などをユーザーに教育する必要があります。ユーザーのセキュリティ意識を高めることで、このような攻撃の成功率を大幅に低下させ、組織のデータと資産を保護することができます。
コメント