ウクライナのサイバーセキュリティ当局は、マルウェア配布を慈善寄付の依頼に偽装するロシア系の脅威アクターによって組織された、ウクライナ防衛部隊に対する持続的かつ標的型のキャンペーンを発見しました。
2025年10月から12月にかけて、ウクライナ国家サイバーインシデント対応チーム(CERT-UA)と軍サイバーインシデント対応チームは、PLUGGYAPEと呼ばれるPythonベースのバックドアを悪用した複数の連携攻撃を記録しました。
このキャンペーンは、Void Blizzard(Laundry Bearとしても追跡され、UAC-0190に指定)として知られる脅威アクターによるものだと中程度の確度で評価されており、軍関係者を狙うソーシャルエンジニアリング手法の進化を示しています。
攻撃チェーンは、一般的なメッセージングプラットフォーム経由で送信されるメッセージから始まり、標的を正規の慈善財団になりすました不正なウェブサイトへ誘導します。
これらの偽装サイトは文書のダウンロードを提供し、通常はパスワード保護されたアーカイブ内に悪意のある実行ファイルが含まれています。
多くの場合、実行ファイル自体がメッセンジャー経由で .docx.pif ファイルとして直接届き、正規のWord文書との見た目の類似性を悪用します。
この二重拡張子の手法はユーザーの混乱を利用しており、ファイルは文書に見える一方で、クリックするとWindowsのプログラムファイルとして実行されます。
少なくとも5つのキャンペーンの分析で明らかになったのは、PIFファイルが、Pythonで開発されたフル機能のバックドアであるPLUGGYAPEをPyInstallerでコンパイルした実行ファイルラッパーとして機能していたことです。
このマルウェアはWebSocketおよびMQTTプロトコルを通じてコマンド&コントロール通信を確立し、JSON形式でデータを送信します。
実行されると、PLUGGYAPEはMACアドレス、BIOSシリアル番号、ディスクシリアル番号、プロセッサ識別子などのハードウェア特性をSHA-256でハッシュ化し、先頭16バイトのみを保持することで一意のデバイス識別子を生成します。
このマルウェアはWindowsのRunキーにレジストリエントリを作成して永続化を実現し、システム再起動後も自動実行される一方、標準的な監視では検知されにくい状態を保ちます。
進化と検知回避機能
2025年10月、攻撃者はダウングレードローダーとして機能する .pdf.exe ファイルを配布し、Pythonインタープリタと初期のPLUGGYAPE亜種をPastebinのリポジトリから直接取得させました。
12月までに、脅威アクターはPLUGGYAPE.V2と指定された強化・難読化版を展開し、MQTTプロトコル実装と、サンドボックス環境での解析を回避するために設計された複数の仮想化検知チェックを組み込みました。
注目すべきことに、解析された複数のサンプルでは、コマンド&コントロールサーバーのアドレスがハードコード値ではなく、rentry.coやpastebin.comのようなサービスに公開されたBASE64エンコード文字列として埋め込まれており、マルウェアの再コンパイルを必要とせずに迅速なインフラ切り替えを可能にしていました。
CERT-UAは、脅威環境が加速度的なペースで進化し続けていると強調しています。攻撃者は初期偵察の段階で、侵害された正規アカウント、ウクライナの携帯通信事業者の電話番号、流暢なウクライナ語能力、そして詳細な組織知識を組み合わせて活用するケースが増えています。
モバイル端末や個人用コンピュータにインストールされたメッセージングアプリケーションは、ウクライナの標的に対するサイバー脅威の主要な配信ベクターとして事実上の地位を占めるようになっています。
組織および個人は、侵害が疑われる指標を直ちに軍サイバーインシデント対応へ報告するよう求められています。
翻訳元: https://gbhackers.com/ukraines-defense-forces/
