2025年8月6日Ravie Lakshmananサイバー諜報 / マルウェア
ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、UAC-0099と呼ばれる脅威アクターによるサイバー攻撃について警告しました。これらの攻撃は、同国の政府機関、防衛組織、防衛産業複合体の企業を標的としています。
これらの攻撃は、フィッシングメールを初期侵入手段として利用し、MATCHBOIL、MATCHWOK、DRAGSTAREといったマルウェアファミリーを配布するために使用されています。
UAC-0099は、2023年6月に同機関によって初めて公に文書化されており、ウクライナの組織を諜報目的で標的にしてきた経緯があります。過去の攻撃では、WinRARソフトウェアのセキュリティ脆弱性(CVE-2023-38831、CVSSスコア:7.8)を利用してLONEPAGEというマルウェアを拡散していたことが観測されています。
最新の感染チェーンでは、裁判所の召喚状に関連するメールを使って受信者を誘導し、CuttlyなどのURL短縮サービスを利用して短縮されたリンクをクリックさせます。これらのリンクはUKR.NETのメールアドレスから送信され、HTMLアプリケーション(HTA)ファイルを含む二重アーカイブファイルを指しています。
HTAペイロードの実行により、難読化されたVisual Basic Scriptファイルが起動され、永続化のためのスケジュールタスクが作成され、最終的にMATCHBOILというローダーが実行されます。MATCHBOILはC#で作成されたプログラムで、ホストに追加のマルウェアをドロップするよう設計されています。
これには、MATCHWOKというバックドアやDRAGSTAREという情報窃取ツールが含まれます。どちらもC#で記述されており、MATCHWOKはPowerShellコマンドの実行や、その結果をリモートサーバーへ送信することが可能です。
一方、DRAGSTAREはシステム情報、ウェブブラウザのデータ、特定の拡張子(「.docx」「.doc」「.xls」「.txt」「.ovpn」「.rdp」「.txt」「.pdf」)に一致するファイル(「デスクトップ」「ドキュメント」「ダウンロード」フォルダ内)、スクリーンショット、攻撃者が制御するサーバーから受信したPowerShellコマンドの実行結果などを収集する機能を備えています。
この情報開示は、ESETが2024年にウクライナの組織を標的としたGamaredonによる「執拗な」スピアフィッシング攻撃を詳細にまとめた報告書を発表してから、わずか1か月あまり後のことです。この報告書では、隠密性、永続性、横展開のために設計された6つの新しいマルウェアツールの使用が詳述されています。
- PteroDespair:以前に展開されたマルウェアの診断データを収集するためのPowerShell偵察ツール
- PteroTickle:固定・リムーバブルドライブ上のPythonアプリケーション(実行ファイル化されたもの)を標的とし、PteroPSLoadまたは他のPowerShellダウンローダーを提供するコードを注入して横展開を促進するPowerShell武器化ツール
- PteroGraphin:Microsoft Excelアドインやスケジュールタスクを利用して永続化を確立し、Telegraph API経由でペイロード配信のための暗号化通信チャネルを作成するPowerShellツール
- PteroStew:PteroSandやPteroRiskに類似したVBScriptダウンローダーで、被害者のシステム上の無害なファイルに関連付けられた代替データストリームにコードを保存
- PteroQuark:PteroLNK武器化ツールのVBScriptバージョン内に新たに導入されたVBScriptダウンローダー
- PteroBox:PteroPSDoorに似たPowerShellファイル窃取ツールで、盗まれたファイルをDropboxに送信
「Gamaredonのスピアフィッシング活動は2024年後半に大幅に激化しました」とセキュリティ研究者のZoltán Rusnákは述べています。「キャンペーンは通常1日から5日連続で実施され、悪意のあるアーカイブ(RAR、ZIP、7z)やHTMLスマグリング技術を用いたXHTMLファイルを含むメールが送信されました。」
これらの攻撃はしばしば、PteroSandのような埋め込みVBScriptダウンローダーを実行する悪意のあるHTAやLNKファイルの配布、およびPteroPSDoor、PteroLNK、PteroVDoor、PteroPSLoadなど既存ツールの更新版の配布につながります。
ロシア系脅威アクターの他の注目すべき手口としては、ファストフラックスDNS技術の利用や、Telegram、Telegraph、Codeberg、Cloudflareトンネルなどの正規のサードパーティサービスを活用してコマンド&コントロール(C2)インフラを隠蔽することが挙げられます。
「観測される能力の制限や古いツールの放棄があるにもかかわらず、Gamaredonは継続的なイノベーション、積極的なスピアフィッシングキャンペーン、検知回避への執拗な努力により、依然として重大な脅威アクターであり続けています」とESETは述べています。
翻訳元: https://thehackernews.com/2025/08/cert-ua-warns-of-hta-delivered-c.html