Googleの脅威分析グループ(TAG: Threat Analysis Group)は3月30日(米国時間)、公式ブログ「Tracking cyber activity in Eastern Europe」において、2022年3月の最後の2週間に東ヨーロッパ地域で観察されたサイバー攻撃活動についてレポートした。同地域ではこの2週間で3件の攻撃キャンペーンが観察されており、それぞれ中国、ロシア、ベラルーシの攻撃者によるものだったという。

1件目は中国の中国人民解放軍戦略支援部隊に所属するといわれているグループ「Curious Gorge」によるキャンペーンで、ウクライナ、ロシア、カザフスタン、モンゴルの政府および軍関連組織に対して攻撃が実施されたという。

2件目はロシアのグループ「COLDRIVER」によるクレデンシャルフィッシングキャンペーンで、米国を拠点とするNGOやシンクタンク、バルカン諸国の軍隊、そしてウクライナを拠点とする民間軍事会社が標的となった。

3件目はベラルーシのGhostwriterと呼ばれる脅威アクターによるクレデンシャルフィッシングキャンペーンである。このキャンペーンの興味深い点としては、「ブラウザ内ブラウザ(Browser in the Browser)」と呼ばれるフィッシング手法が用いられたことが挙げられている。これはブラウザ内に偽のブラウザウィンドウを表示し、動きをシミュレートすることで正当なドメインになりすまして情報の窃取などを行う方法である。

  • 侵害されたWebサイトで、ブラウザ内ブラウザを用いてクレデンシャルフィッシングページを表示する例(引用:Google TAG)

    侵害されたWebサイトで、ブラウザ内ブラウザを用いてクレデンシャルフィッシングページを表示する例 引用:Google TAG

TAGでは、ロシアによるウクライナへの侵攻が始まって以来、これを悪用したフィッシングやマルウェアキャンペーンを行う攻撃者の数が増え続けていることを確認しているという。政治的な目的による攻撃者だけでなく、混乱に乗じて一般市民から金銭をだまし取ろうと狙っているな攻撃者もいるとのことで、被害を回避するために引き続き警戒が必要である。