SEQRITE LabsのAPTチームの研究者は、偽のアンチウイルスをテーマにしたフィッシング誘導を用いてイスラエルの組織を標的とする、Operation IconCatと呼ばれるキャンペーンに関連する、新たな脅威クラスター「UNG0801」を発見しました。
攻撃は西アジアに起源があるとみられ、標的は企業環境で、特にITサービスプロバイダー、人材派遣会社、ソフトウェア企業が狙われています。
UNG0801のフィッシングメールは、コンプライアンス通知、サイバーセキュリティのブリーフィング、企業ウェビナーへの招待などの社内連絡を模倣するため、ヘブライ語で巧妙に作り込まれています。
キャンペーン全体に共通する主要な戦術は、Check PointおよびSentinelOneを中心とした著名なアンチウイルスのインターフェースを偽装し、被害者に悪意ある添付ファイルを操作させることです。
2025年11月中旬に始まった2つの異なる感染チェーンが観測され、いずれもAVアイコンの悪用という共通テーマからOperation IconCatとして分類されました。これらのキャンペーンは、PDFまたはWordの添付ファイルを用いて、PYTRICおよびRUSTRICと名付けられた第2段階のインプラントを展開します。
最初のキャンペーンは、help.pdfという悪意あるPDFを用いてCheck Pointになりすまします。このファイルはユーザーマニュアルを装い、従業員にDropboxから偽の「Security Scanner」ツールをダウンロードするよう促します。なお、パスワードは「cloudstar」で保護されています。
実行されると、このツールはPythonで書かれ、PyInstallerでパッケージ化されたPYTRICインプラントを展開します。
分析の結果、PYTRICはローカルファイルのスキャン、管理者権限の確認、システムデータとバックアップを消去するコマンドの実行など、破壊的な動作を行うことが示されています。
また、Backup2040というTelegramボットを介して攻撃者と通信しており、諜報活動というよりワイパーに近い挙動を示唆しています。
2つ目のキャンペーンはSentinelOneのロゴを偽装し、VBAマクロを含む悪意あるWord文書を通じて、RustベースのインプラントRUSTRICを配布します。
ドロップされるバイナリはセキュリティツールを装い、ESET、CrowdStrike、Sophos、Microsoft Defenderを含む、28種類のアンチウイルスおよびEDR製品を列挙する機能を備えています。
インフラの痕跡からは、netvigil.orgの証明書の再利用が明らかになり、攻撃者が低コストのVPSサーバーを転用したことが示唆されます。
これらのキャンペーンでは、T1566.001(スピアフィッシング:添付ファイル)、T1059.006(Pythonコマンドインタープリタ)、T1036.005(なりすまし)など、複数のMITRE ATT&CK手法が用いられています。
SEQRITEは、PYTRICはワイパーとして動作する一方、RUSTRICは諜報活動に注力しているものの、両者は同一の運用者のプレイブックを共有していると結論づけています。
帰属は決定的ではないものの、これらのキャンペーンは、標的型フィッシング作戦の成功率を高めるために、信頼されるサイバーセキュリティのブランドを悪用する脅威アクターが増加している傾向を浮き彫りにしています。
翻訳元: https://cyberpress.org/malicious-av-themed-documents/