CERT-UA (Computer Emergency Response Team of Ukraine)は5月12日(ウクライナ時間)、「CERT-UA - Кібератаки групи UAC-0010 (Armageddon) з використанням шкідливої програми GammaLoad.PS1_v2 (CERT-UA#4634,4648)」において、「Armageddon」と呼ばれる持続的標的型攻撃(APT: Advanced Persistent Threat)グループによってフィッシング詐欺キャンペーンが行われていると伝えた。セキュリティ侵害インジケータ(IoC: Indicator of Compromise)を掲示し、注意を呼びかけている。
-
CERT-UA - Кібератаки групи UAC-0010 (Armageddon) з використанням шкідливої програми GammaLoad.PS1_v2 (CERT-UA#4634,4648)
フィッシング詐欺キャンペーンに使われているメールはサブジェクトが「Щодо проведення акції помсти у Херсоні!」 (ヘルソンで復讐!)となっており、「План Херсон.htm」(ヘルソン計画.htm)という添付ファイルがついているとされている。ヘルソンは、ロシアが侵入したウクライナの都市名で、ロシアによるウクライナ侵攻への関りを匂わせる件名となっている。
添付されているHTMLファイルはデコードを実施して「Herson.rar」というファイルを生成し、そこから「План підходу та закладання вибухівки на об'єктах критичної інфростурктури Херсона.lnk」(ヘルソンの重要インフラへのアプローチと爆発物の設定に関する計画.lnk)というショートカットが作成される。こうしていくつかの段階を経て「desktop.txt」および「user.txt」というファイルの作成および実行が行われるとされている。最終的に、「GammaLoad.PS1_v2」というファイル名のマルウェアの感染が行われるとされており注意が必要。
CERT-UAはこのサイバー攻撃が「Armageddon」によって行われたものだと説明している。ArmaggedonはGamaredon、Primitive Bear、Armageddon、Winterflounder、Iron Tildenなどの名称でも特定されている。
