近年、メディア組織やジャーナリストは、国家の支援を受けた高度な持続的攻撃者による標的にますます多くなっています。その目的は明確で、機密情報へのアクセス、活動の監視、さらには情報源の特定です。さらに、侵害されたジャーナリストのアカウントは、偽情報や国家寄りのプロパガンダの拡散に利用される可能性もあります。
電子メールは最も頻繁に使用される最初の感染ベクトルですが、脅威の攻撃者はソーシャル メディア アカウントも標的にしています。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
Proofpoint の新しい出版物では、こうした標的型攻撃のいくつかを公開し、認識を高める試みがなされています。
ジャーナリストに対する国家主導の4つのキャンペーン
中国のTA412とTA459
TA412としても知られる脅威アクター「Zirconium」は、2021年からアメリカ人ジャーナリストを標的にしている。中国国家の利益と連携するこのアクターは、電子メールを使ってウェブビーコンを仕掛け、その後完全に侵入することが多い。
ウェブビーコン(トラッキングピクセルとも呼ばれる)は、HTMLメール内に埋め込まれた目に見えないオブジェクトで、攻撃者が所有するサーバーから無害な画像ファイルをひそかに取得します。これにより、攻撃者は訪問者の外部IPアドレス、ユーザーエージェント、メールアドレスなどの情報を収集し、ユーザーアカウントがアクティブであることを確認します。
TA412は2021年初頭、1月6日の国会議事堂襲撃事件などの際に米国の政治や国家安全保障を取材する米国人ジャーナリストを標的とした少なくとも5つのキャンペーンを開始した。
2021年8月、この脅威アクターは再び攻撃キャンペーンを開始し、今回は中国に重点を置いたサイバーセキュリティ、監視、プライバシーの問題を抱えるジャーナリストを標的にしました。
2022年、脅威アクターは、予想されるロシア・ウクライナ戦争へのアメリカとヨーロッパの関与について報道するジャーナリストを標的にしました。
一方、脅威アクターTA459は、悪意のあるRTFファイルを添付したメールをメディア関係者に送りつけ、開封すると「Chinoxy」と呼ばれるマルウェアがインストールされ、実行される仕組みでした。
北朝鮮のTA404
2022 年初頭、脅威アクター TA404 (別名 Lazarus) は、「Operation Dream Job」と呼ばれるキャンペーンで、ブランド求人サイトのように見える偽の求人ページを作成しました (図 A )。
図A
これらのページへのリンクは、北朝鮮の金正恩委員長を批判する記事を掲載したメディア組織に属するアメリカ人の標的に送信された。
エクスプロイト キットは、訪問者をマルウェアに感染させ、感染したデバイスへのアクセスを提供します。
トルコのTA482
TA482は、アメリカのジャーナリストやメディア組織のソーシャルメディアアカウントを標的とする脅威アクターです。Proofpointによると、この脅威アクターはトルコの国家利益と連携しています。
2022年初頭、TA482はソーシャルエンジニアリングを駆使し、Twitterのセキュリティセンターを装ったメールを送信し、ユーザーに疑わしい接続について警告しました(図B)。
図B
提供されたリンクをクリックすると、ターゲットは Twitter を装った認証情報収集ページに誘導されます。
イランのTA453、TA456、TA457
TA453(別名Charming Kitten)は、世界中のジャーナリストを装うことを日常的に行います。脅威アクターは、主に中東の外交問題に携わる学者や政策専門家である標的と、まずは無害な会話を始めます。会話は、標的の興味を喚起し、彼らの仕事に関する知識を示すことで、通常、さらなる対話を促します。
被害者が応答しない場合、TA453は標的に再度連絡を取ったり、仮想会議に招待して更なる話し合いを行ったりします。このキャンペーンの目的は、脅威アクターが管理する認証情報収集ドメインに標的を誘導し、認証情報を入手することです。
TortoiseShell(別名TA456)は、イランを拠点とする別のアクターで、他の攻撃キャンペーンを通じてメディア組織を標的としています。この脅威アクターは、ウェブビーコンを含むニュースレターメールをユーザーに送信し、マルウェア感染によってユーザーに侵入します。
TA457はiNewsの記者を装い、アメリカ、イスラエル、サウジアラビアの企業の広報担当者にマルウェアを配信します。2021年9月から2022年3月にかけて、この脅威アクターは約2~3週間ごとに攻撃キャンペーンを展開し、これらのメディア組織の一般メールアドレスと個人メールアドレスの両方を標的としました。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
