クレムリンと関係するハッカーが、慈善団体を装ってウクライナ軍関係者を標的にした新たなサイバー諜報キャンペーンを開始したと、研究者らが明らかにした。
月曜日に公開された報告書で、ウクライナのコンピュータ緊急対応チームCERT-UAは、攻撃が2025年10月から12月にかけて行われ、ウクライナ防衛軍の代表者が標的となったと述べた。作戦には、これまで文書化されていなかった「PluggyApe」と呼ばれるマルウェアの亜種が使用された。
この活動はVoid Blizzardによるものとされ、Laundry Bearとしても追跡され、ウクライナ当局により内部的にUAC-0190と指定されている。比較的新しい国家支援の諜報グループで、ロシア政府の利益を支援する形で活動し、欧州および北米の政府、防衛、運輸、メディア、非政府組織、医療分野を標的としている。
CERT-UAによると、攻撃者はメッセージングアプリを通じて標的に連絡し、慈善財団になりすましたウェブサイトを訪れるよう促した。被害者はその後、文書のように見えるものをダウンロードするよう求められたが、実際には実行ファイルであり、多くの場合パスワード保護されたアーカイブに梱包されていた。場合によっては、悪意のあるファイルがメッセージングアプリ経由で直接送信された。
CERT-UAは、攻撃者がSignalとWhatsAppを使って被害者とやり取りしている様子を示すスクリーンショットを共有した。ウクライナ当局は以前、ロシアの国家支援ハッカーが政府および軍関係者を標的にしたマルウェアを配布するためにSignalの悪用を強めていると警告していた。
このグループは10月にPluggyApeバックドアの初期版を初めて展開した。12月までに、このマルウェアは検知回避と解析の困難化を目的とした追加機能で強化された。インストールされると、PluggyApeは攻撃者が感染システムへの永続的なリモートアクセスを確立し、追加のコマンドを実行できるようにする。
ウクライナ当局は、このキャンペーンはロシア関連のサイバー作戦におけるより広範な変化を反映しており、攻撃者が大量のフィッシングメールではなく、信頼された通信チャネルと高度に標的化された誘い文句にますます依存していると述べた。
現在、最初の接触は正規のアカウントやウクライナの電話番号を通じて行われることが多く、攻撃者はウクライナ語を話し、音声またはビデオ通話をかけ、標的やその組織について詳細な知識を示す。
「モバイル端末やパーソナルコンピュータにインストールされた広く利用されているメッセージングアプリは、事実上、マルウェアの最も一般的な配布チャネルになりつつある」とCERT-UAは述べた。
翻訳元: https://therecord.media/kremlin-linked-hackers-pose-as-charities-spy-ukraine
