ウクライナ政府文書ポータルがサイバー攻撃に苦しんでいる
2021年2月下旬、ウクライナ政府は政府の文書共有インフラストラクチャに対するサイバー攻撃を報告しました。国のサイバーセキュリティセンターは、攻撃の「方法と手段」は、ロシアを起源とする「ハッカースパイグループ」の関与を示唆していると述べました。
この攻撃は、政府機関と公的機関の間で文書を共有するために使用されるウクライナのWebポータルである行政機関の電子的相互作用のシステムを標的にしました。
ウクライナ当局は、ポータルにアップロードされたマクロを含む悪意のある文書を発見しました。これは珍しい、または特に斬新な攻撃アプローチではありませんが、残念ながらそれでも非常にうまく機能します。
悪意のあるドキュメントが開かれると、ユーザーにマクロの実行を許可するように求められます。許可が与えられた場合、マクロスクリプトは、攻撃の背後にいる悪意のある攻撃者が準備したマルウェアの実際のペイロードを静かにダウンロードします。
この種の攻撃ベクトルは、トロイの木馬やバックドアから情報スクレーパー、キーロガー、ランサムウェアに至るまで、あらゆる種類の第2段階のペイロードを配布するために使用できます。
ウクライナ当局は、成文化された名前を持つ特定の団体やグループに名前を付けていませんが、攻撃には、ドメインenterox.ru、IPアドレス、そこでホストされているPHPページなど、侵害の兆候が多数含まれていると述べています。 。
ZDNetセキュリティチームが実施した調査に基づくと、ドメイン名は、攻撃がGamaredonAPTに関連していることを示している可能性があります。 Gamaredonは、過去にウクライナのネットワークへの攻撃を開始した、ロシアを拠点とする国が後援するハッカーのグループと見なされています。
この攻撃の発表の数日前に、ウクライナ当局はまた、ロシアの悪意のある人物が、分散型サービス拒否攻撃で、国のセキュリティサービスWebサイトを含む多くの異なるウクライナの機関を標的にしたと報告しました。