ロシアのウクライナ侵攻が始まってから、世界中のサイバー犯罪グループがこの時事を悪用してサイバー攻撃を行っている。Malwarebytesの指摘によれば、Mustang Panda、UNC1151、SCARABといった持続的標的型攻撃(APT: Advanced Persistent Threat)アクターが主にウクライナを標的としてサイバー攻撃を行っているほか、FormBookといったワイパーも同様の手口で活動していることが確認されているという。

Malwarebytesは3月29日(米国時間)、「New spear phishing campaign targets Russian dissidents|Malwarebytes Labs」において、ウクライナではなくロシアの市民や政府機関に焦点を当てた新たなサイバー攻撃のキャンペーンが展開されていることを確認したと伝えた。メールの内容から、サイバー犯罪者はロシア政府に反対する反体制主義者を標的としているようだと指摘している。

  • New spear phishing campaign targets Russian dissidents|Malwarebytes Labs

    New spear phishing campaign targets Russian dissidents|Malwarebytes Labs

サイバー攻撃に使われているメールは「ロシア連邦デジタル開発・通信・マスコミュニケーション省(Minkomsvyaz: Ministry of Digital Development, Communications and Mass Media of the Russian Federation、Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации)」および「ロシア連邦通信・情報技術・マスコミ分野監督庁 (Roskomnadzor: Federal Service for Supervision of Communications, Information Technology and Mass Media、Роскомнадзор: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций)」を装って送られているという。

スピアフィッシングメールの内容は、ロシア政府によって禁止されているWebサイトやソーシャルネットワーク、インスタントメッセンジャー、VPNサービスを利用しているユーザーに対して刑事告発を警告する内容になっている。その詳細を知るために添付ファイルを開くよう誘導する内容になっており、添付されているファイルやリンクを開くことで「Cobalt Strike」マルウェアに感染する仕組みになってるとのことだ。