🔥 この記事の詳細
2026-05-23 更新
C
月内に

ベラルーシに関連するAPTグループ「Ghostwriter」が、ウクライナの政府機関を標的としたフィッシングキャンペーンを展開しています

脆弱性🌐 英語ソース📰 2記事🌐 2 countries
🇮🇹 Italy · 🇺🇸 US
📅 2026-05-23📰 secaffairs
📌 一言でいうと
ベラルーシに関連するAPTグループ「Ghostwriter」が、ウクライナの政府機関を標的としたフィッシングキャンペーンを展開しています。攻撃者は、政府職員が利用する正当な学習プラットフォーム「Prometheus」を装ったメールを送信し、PDF経由でマルウェアやCobalt Strikeを配布しています。送信元に侵害済みの正規アカウントを使用することで、信頼性を高めている点が特徴です。
🔍該当判定
  • ウクライナ政府機関や関連団体と業務上のやり取りがある
  • ウクライナのオンライン学習プラットフォーム「Prometheus」を利用している
  • ウクライナ国内の組織から送信されたPDF形式のメール添付ファイルを受信した
  • 社内でウクライナ政府系組織向けのITサービスやシステムを提供している
上記いずれにも該当しない → 静観でOK
該当時の対応
不審な送信元からのPDF添付ファイルやリンクを不用意に開かないこと。また、正規のサービス(学習プラットフォーム等)を装った通知であっても、公式サイトから直接ログインして確認することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】正規サービスを装った不審なメールにご注意ください

お疲れさまです。情報システム担当です。
ウクライナの政府機関などを標的に、正規の学習プラットフォームを装った巧妙なフィッシングメールが送信されていることが確認されました。

ご協力をお願いしたいこと:
1. 心当たりのない送信元から届いたPDFファイルやリンクを絶対に開かないでください。
2. サービスからの通知に見えても、メール内のリンクではなく、ブラウザのブックマークや公式サイトから直接アクセスして確認してください。

対応期限: 本日中
Subject: [Security Alert] Beware of Phishing Emails Impersonating Legitimate Services

Dear employees,
We have received reports of sophisticated phishing emails impersonating legitimate learning platforms to target government organizations.

Requested Actions:
1. Do not open PDF attachments or click links from unknown or suspicious senders.
2. Even if a notification appears to be from a trusted service, please access the service directly via the official website or your bookmarks rather than clicking email links.

Deadline: Immediate
件名: 【共有】APTグループ Ghostwriter によるフィッシングキャンペーンについて

お疲れさまです。Ghostwriterによる新たな攻撃活動に関する情報共有です。

■ 概要
ベラルーシ関連のAPTグループ Ghostwriter (UAC-0057/UNC1151) が、ウクライナの学習プラットフォーム「Prometheus」をルアーとしたフィッシング攻撃を展開しています。侵害済みの正規アカウントからPDFを送信し、最終的にCobalt Strike等のペイロードを配布させる手法を用いています。

■ 影響範囲
- ウクライナ政府機関および関連組織

■ 対応手順
1. メールゲートウェイにて、不審なPDF添付ファイルを含むメールの検知・遮断設定を確認してください。
2. エンドポイントにおいて、Cobalt Strike等のC2通信に関連する不審なネットワークトラフィックを監視してください。
3. ユーザーに対し、正規サービスを装ったソーシャルエンジニアリングへの注意喚起を行ってください。

■ 参考情報
- CERT-UA 通報内容

対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] Phishing Campaign by APT Ghostwriter

Dear Security Team,
This is a technical update regarding the recent activity of the Ghostwriter APT group.

■ Overview
The Belarus-nexus group Ghostwriter (UAC-0057/UNC1151) is conducting a phishing campaign targeting Ukrainian government entities. They use the 'Prometheus' learning platform as bait, delivering malware and Cobalt Strike payloads via PDF attachments sent from compromised legitimate accounts.

■ Scope
- Ukrainian government agencies and associated organizations.

■ Mitigation Steps
1. Review and update mail gateway filters to detect and block suspicious PDF attachments.
2. Monitor endpoints for anomalous network traffic associated with Cobalt Strike C2 infrastructure.
3. Conduct user awareness training regarding social engineering attacks impersonating trusted services.

■ Reference
- CERT-UA alerts

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
hackernewsベラルーシ系APTグループ「Ghostwriter」が、ウクライナの政府機関を標的にしたフィッシング攻撃を展開しています
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-23 のまとめ🔍 記事を検索