ブログ(脅威調査)

Ghostwriterアップデート:エスピオナージ・グループUNC1151がGhostwriterのインフルエンス・アクティビティに関与する可能性

2020年7月、Mandiant Threat Intelligenceは、「Ghostwriter」と命名された進行中のインフルエンス・キャンペーンを詳述する公開レポートをリリースしました。Ghostwriterは、主にラトビア、ポーランド、リトアニアのユーザーを標的とし、東ヨーロッパにおける北大西洋協定組織(NATO)のプレゼンスに重要な記述を促進するサイバー対応のインフルエンス・キャンペーンです。公開後も、Mandiant Intelligenceのお客様に対し、Ghostwriter活動の調査・報告を継続しています。新しいインシデントが発生したことを追跡し、活動を特定してから、2020年に正式にキャンペーンを特定しました。情報オペレーション分析、エスピオナージ活動分析、およびMandiantリサーチ・チームによる新しいレポートには、Ghostwriterに関するアップデートが記載されており、2つの重要な開発が強調されています。

私たちは2020年7月のレポートをリリースして以来、Ghostwriter活動に関連するナレーション、ターゲット、TTPの拡大を観察しました。例えば、最近の作戦の中には、ポーランド当局者の損害を受けたソーシャル・メディア・アカウントを、NATOへの不信を招くよりも、ポーランド国内の政治的混乱を引き起こすことを意図したと思われる内容を公表するような、政治的権利を大きく利用しているものもあります。ポーランド語と英語で実行されるこれらのオペレーションは、ウェブサイトの侵害、偽装されたEメール、外部の個人からの投稿など、以前のGhostwriter活動で一般的に観察されていた普及ベクターに大きく依存していないように見えます。私たちは、これらのソーシャル・メディア・プラットフォーム自体が何らかの形で侵害されたという証拠を観察しておらず、代わりに、アカウント資格情報が標的個人の侵害されたEメール・アカウントを使用して取得されたと考えています。

最近得られた技術証拠では、クレデンシャル・ハーベスティングとマルウェア・キャンペーンに関与する疑わしい国家支援エスピオナージ活動の攻撃者であるUNC1151が、Ghostwriterの活動に少なくともいくつかのコンポーネントを作用させることを高い信頼性で評価できるようになりました。ウェブサイトの侵害に関するギャップや、偽ペルソナの運用を含む現在のインテリジェンスのギャップは、現時点ではGhostwriterキャンペーンのすべてをUNC1151に結論的に帰属させることができません。UNC1151は、以前に追跡されたその他の脅威グループには関連付けられません。2021年以降、UNC1151は資格情報窃取活動の標的をドイツの政治家へと拡大しています。このことはドイツのTagesschauで公に報告されています。

本レポートの付録には、現在Ghostwriter活動に関連しているインシデントと運用を網羅した表、最近のGhostwriter運用の詳細なケース・スタディ、UNC1151に関連する侵害調査指標(IOC)が含まれています。

詳細については、こちらのレポートを参照してください。

 

本ブログは機械翻訳(MT)を使用して翻訳しています。原文と翻訳版の意味、文言が異なる場合は原文を有効とします。

原文:April 28, 2021 「Ghostwriter Update: Cyber Espionage Group UNC1151 Likely Conducts Ghostwriter Influence Activity