ロシア政府が支援する脅威グループAPT28は、Signalチャットを利用してウクライナの政府目標を狙い、BeardShellとSlimAgentという2つの未公開のマルウェアファミリーを使用しています。
明確にしておくと、これはSignalのセキュリティ問題ではありません。代わりに、脅威アクターは、世界中の政府による利用が増加しているため、フィッシング攻撃の一環としてメッセージングプラットフォームをより一般的に利用しています。
この攻撃は、2024年3月にウクライナのコンピュータ緊急対応チーム(CERT-UA)によって初めて発見されましたが、その時点では感染ベクターに関する詳細は限られていました。
1年以上後の2025年5月、ESETはgov.uaのメールアカウントへの不正アクセスをCERT-UAに通知し、新たなインシデント対応を促しました。
この新たな調査の中で、CERT-UAは、暗号化されたメッセンジャーアプリSignalを介して送信されたメッセージが、ターゲットに悪意のあるドキュメント(Акт.doc)を配信するために使用されていることを発見しました。このドキュメントは、メモリに常駐するバックドアであるCovenantをロードするためにマクロを使用します。
出典: CERT-UA
Covenantはマルウェアローダーとして機能し、DLL(PlaySndSrv.dll)とシェルコードを含むWAVファイル(sample-03.wav)をダウンロードして、未公開のC++マルウェアであるBeardShellをロードします。
ローダーと主要なマルウェアペイロードの両方で、持続性はWindowsレジストリのCOMハイジャックを通じて確保されます。
出典: CERT-UA
BeardShellの主な機能は、PowerShellスクリプトをダウンロードし、それらを’chacha20-poly1305’で復号して実行することです。実行結果は、Icedrive APIを通じて通信を行うコマンド&コントロール(C2)サーバーに送信されます。
2024年の攻撃では、CERT-UAはSlimAgentというスクリーンショットグラバーも発見しました。これは、Windows API関数(EnumDisplayMonitors、CreateCompatibleDC、CreateCompatibleBitmap、BitBlt、GdipSaveImageToStream)を使用してスクリーンショットをキャプチャします。
これらの画像はAESとRSAで暗号化され、ローカルに保存されます。おそらく別のペイロード/ツールによってAPT28のC2サーバーに送信されると考えられます。
CERT-UAはこの活動をAPT28に帰属し、UAC-0001として追跡しています。潜在的なターゲットには、app.koofr.netおよびapi.icedrive.netとのネットワークインタラクションを監視することを推奨しています。
APT28は、ウクライナだけでなく、米国やヨーロッパの主要な組織を主にサイバー諜報のために標的にしてきた長い歴史があります。
彼らはロシアの最も進んだ脅威グループの一つであり、2024年11月にVolexityによって、近隣のWi-Fiネットワークを利用してターゲットを遠隔で侵害する新しい「近接攻撃」技術を使用していることが暴露されました。
2025年には、Signalがロシアとウクライナに関連するサイバー攻撃の中心となることが予想外に起こりました。
この人気のある通信プラットフォームは、プラットフォームのデバイスリンク機能を悪用してアカウントを乗っ取るスピアフィッシング攻撃や、ウクライナの主要なターゲットに対するDark Crystal RATの配布に悪用されています。
ある時点で、ウクライナ政府の代表者は、Signalがロシアの攻撃を阻止する取り組みに協力をやめたとされることに失望を表明しました。その後、ウクライナの当局者は、Signalがロシアの活動を阻止する協力をしていないことに不満を表明しました。
しかし、Signalの社長であるMeredith Whittakerは、その主張に驚きを示し、プラットフォームがウクライナや他の政府と通信データを共有したことはないと述べました。
なぜITチームは手動のパッチ管理をやめているのか
パッチ適用はかつて、複雑なスクリプト、長時間の作業、終わりのない緊急対応を意味していました。今は違います。
この新しいガイドでは、Tinesが現代のIT組織がどのように自動化でレベルアップしているかを解説します。パッチを迅速に適用し、オーバーヘッドを削減し、戦略的な作業に集中します — 複雑なスクリプトは必要ありません。