ゲッティイメージズ
Google の脅威分析グループ 水曜日に確認 イスラエルの標的への攻撃が強化されたほか、イラン政府の支援を受けた脅威アクターが米国大統領選挙運動に関連するGoogleアカウントを標的にしているのを確認したという。
イラン革命防衛隊と関係のあるAPT42は「イスラエルと米国の著名ユーザーを一貫して標的にしている」とThreat Analysis Group(TAG)は記している。このイランのグループは、ホスト型マルウェア、フィッシングページ、悪意のあるリダイレクト、その他の戦術を使用して、Google、Dropbox、OneDrive、その他のクラウドベースのアカウントにアクセスしている。GoogleのTAGは、アカウントをリセットし、ユーザーに警告を送信し、APT42のフィッシング攻撃に関連するドメインをブラックリストに登録したと記している。
APT42 のツールの中には、正当なユダヤ人活動家からの嘆願書のように見える Google Sites ページがあり、イスラエルにハマスとの進行中の紛争の仲裁を求めるものだった。このページは HTML ではなく画像ファイルで作成されており、ユーザーが嘆願書に署名しようとすると、ngrok リダイレクトによってフィッシング ページに誘導された。
イスラエルのユダヤ人機関からの請願書を装い、調停措置への支援を求めているが、Googleによると、署名はひそかにフィッシングサイトにリダイレクトされる。
グーグル
米国では、グーグルのTAGは、2020年の選挙と同様に、APT42が「バイデン大統領とトランプ前大統領に関係する約12人の個人」の個人メールを積極的に狙っていると指摘している。TAGは、APT42が「著名な政治コンサルタントの個人Gmailアカウントへのアクセスに成功した」ことを確認している。この人物は、共和党の長年の工作員であるロジャー・ストーンである可能性があると報じられている。 ガーディアン、 CNN、 そして ワシントンポストなど。マイクロソフト 先週別途記載 トランプ陣営の「元上級顧問」のマイクロソフトアカウントが侵害されたという。 ストーン氏も認めた。
「現在、TAGは、現職および元政府関係者や選挙運動関係者を含む、バイデン大統領、ハリス副大統領、トランプ前大統領と関係のある個人のアカウントを侵害しようとするAPT42の失敗した試みを引き続き観測している」とグーグルのTAGは記している。
PDFとフィッシングキットは双方をターゲットにしている
Google の投稿には、APT42 が両党の工作員をターゲットにする方法が詳しく記載されています。大まかな戦略は、ターゲットをメールから引き離し、Signal、Telegram、WhatsApp などのチャネル、または 2 要素認証や脅威監視が設定されていない可能性のある個人のメール アドレスに誘導することです。正規の PDF を送信して信頼関係を確立したり、ビデオ会議に誘い込んだりすることで、APT42 はフィッシング キットを使用するリンクを「シームレスなフロー」でプッシュし、Google、Hotmail、Yahoo から認証情報を収集できます。
APT42は足場を固めた後、アカウント内でアプリケーション固有のパスワードを生成してアクセスを維持しようとすることが多く、通常は多要素ツールを回避します。Googleは、 高度な保護プログラム攻撃を受けるリスクが高い個人を対象としたこの対策は、そのような対策を無効にします。
ポリティコ、ワシントンポスト、ニューヨークタイムズなどの出版物は、 トランプ陣営から文書の提供を受けたと報告おそらくイランのフィッシング攻撃によるものと思われるが、 ロシアが2016年にヒラリー・クリントン陣営を標的にしたいずれも、文書に関連する記事を発表する動きを見せていない。
グーグル傘下のサイバーセキュリティ企業マンディアントのジョン・ハルトキスト氏はワイアードのアンディ・グリーンバーグ氏に対し、当初はイランによるスパイ行為や政治介入のように見えたものが簡単に破壊活動にエスカレートする可能性があり、両者が同等の標的になると語った。また、脅威の媒介に関する現在の考え方を拡大する必要があるかもしれないとも述べた。
「これはもはやロシアだけの問題ではない。それよりも広範囲だ」とハルトクイスト氏は語った。「複数のチームが関わっている。そして我々はそれらすべてに目を光らせなければならない」
