TokyoBlackHatNews

gbhackers.com 4分で読了

AV(アンチウイルス)を装った悪意あるWordおよびPDFファイルにより標的となったイスラエルの組織

SEQRITE Labsの高度持続的脅威(APT)チームは、正規のアンチウイルスソフトを装った武器化されたMicrosoft WordおよびPDF文書を通じてイスラエルの組織を標的にする高度なキャンペーンを発見しました。

UNG0801、または「Operation IconCat」として追跡されているこの作戦は、セキュリティベンダーであるSentinelOneおよびCheck Pointの信頼されたブランドを悪用し、被害者を欺いて悪意あるペイロードを展開させます。

西アジアに起源があるとみられるこの脅威クラスターは、2025年11月中旬以降活動しており、イスラエルの情報技術、人事、ソフトウェア開発分野にわたる企業環境に焦点を当てています。

これらのキャンペーンは、コンプライアンス更新、セキュリティ勧告、ウェビナー告知など、日常的な社内連絡を模倣したヘブライ語のフィッシング誘導文を利用し、正当性を確立して被害者の反応率を高めています。

PYTRICおよびRUSTRICインプラント

Operation IconCatは2つの異なる感染チェーンで構成されており、いずれもアンチウイルスのアイコン偽装を中心としたおなじみの運用手口を共有しています。

Image
Image
感染チェーン – Operation IconCat.

2025年11月16日に開始された最初のキャンペーンでは、「help.pdf」という悪意あるPDFが配布され、受信者に対してパスワード「cloudstar」を使用してDropboxから「Security Scanner」をダウンロードするよう指示します。

この文書には本物のCheck Pointのブランド表示と詳細な使用手順が含まれており、正規のセキュリティソフトであるかのような外観を強化しています。

このチェーンを通じて配信されるペイロードはPYTRICで、PyInstallerでパッケージ化されたPython実行ファイルであり、セキュリティツールを装います。

技術分析により、PYTRICは破壊的なワイパーとして機能し、システム全体のデータ削除、バックアップの削除を実行でき、さらに「Backup2040」という名前のTelegramボットを介してコマンド&コントロール(C2)基盤と通信できることが明らかになっています。

Image
PyInstallerインプラント。

このインプラントは管理者レベルのコマンドを実行し、標的システムを不可逆的に侵害することから、諜報目的ではなく破壊目的であることが示唆されます。

2025年11月17日に検知された2つ目のキャンペーンでは、正規のイスラエルの人材会社であるL.M. Groupになりすましたスピアフィッシングメールが用いられます。

これらのメールには、悪意あるWord文書およびZIPファイルが添付されており、マクロ有効の添付ファイルを含んでRUSTRIC(Rustベースの偵察インプラント)をドロップします。

Image
悪意あるWord文書。

PYTRICとは異なり、RUSTRICは情報収集に重点を置き、侵害されたシステムにインストールされているQuick Heal、CrowdStrike、Microsoft Defender、Kaspersky、Nortonを含む28種類のアンチウイルス製品を列挙するとともに、 whoami.exe、 hostname.exe、 nslookup.exeなどのシステム偵察コマンドを実行します。

インフラと帰属

インフラ分析により、対照的なコマンド&コントロール手法が明らかになっています。最初のキャンペーンは通信を完全にTelegramに依存しています。

このマクロはroot\cimv2名前空間を介してWin32_Processクラスへのハンドルを取得し、Createメソッドを呼び出して新しいプロセスを生成します。

Image
悪意あるRustインプラント。

これに対し2つ目は、以前のドメインnetvigil.orgの設定痕跡を示す専用のC2サーバーを利用しています。

TLS証明書やCNAMEレコードが保持されたままなど、この不完全なサーバー再設定は、脅威アクターが転用された、または低コストの仮想プライベートサーバーを使用していることを示唆しており、これはリソース制約のある作戦に見られる特徴です。

SEQRITE Labsは、運用時期の一致、地理的な標的設定、そして一貫したアンチウイルスブランドの悪用に基づき、両キャンペーンをUNG0801クラスターとして分類しています。

しかし、PYTRICの破壊能力とRUSTRICの諜報機能という目的の相違は、帰属の取り組みに複雑さをもたらします。

行動パターンは単一の運用者または共通の手口を示唆する一方で、戦術上の違いは、複数の脅威グループ間の協力、または単一組織内での運用優先度の変化の可能性を示しています。

イスラエルの技術およびサービス分野の組織は、メールフィルタリングの強化、マクロ実行のデフォルト無効化、疑わしいPowerShell活動およびTelegramや未検証のC2ドメインへの外部通信の監視を実施すべきです。

翻訳元: https://gbhackers.com/av-themed-malicious/

ソース: gbhackers.com
#APT(高度持続的脅威) #AVブランドなりすまし(SentinelOne/Check Point) #C2インフラ分析・アトリビューション #PYTRIC(ワイパー型マルウェア) #RUSTRIC(Rust製リコン/情報窃取) #TelegramボットC2 #Word・PDF悪性ドキュメント #イスラエル標的攻撃 #フィッシング/スピアフィッシング #マクロ攻撃(Officeマクロ)

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚