ウクライナのサイバーセキュリティ当局は、脅威アクターが慈善団体をなりすまし、軍の防衛要員に対してマルウェアを配布する高度なキャンペーンを発見しました。
2025年10月から12月にかけて、CERT-UAとウクライナ軍サイバー対応チームは、PLUGGYAPEバックドアマルウェアを用いた複数の標的型攻撃を記録し、Void Blizzardグループ(UAC-0190としても追跡)によるものと中程度の確度で帰属しました。
攻撃者は説得力のあるソーシャルエンジニアリング手法を用い、正規のウクライナの電話番号とウクライナ語のコミュニケーションで、メッセージングアプリを通じて標的に接触します。
被害者には、正規の人道支援団体に似せて作られた偽の慈善団体ウェブサイトへ誘導するメッセージが届きます。
これらの不正サイトは文書のダウンロードを提供し、実行ファイルはパスワード保護されたアーカイブに圧縮されていることが多く、または「.docx.pif」ファイルとして直接配布されます。
2025年10月には、攻撃者はPythonインタープリタとPLUGGYAPEの初期バージョンをダウンロードするよう設計されたローダーを展開する「.pdf.exe」ファイルを使用しました。
12月までに、調査担当者は、MQTTプロトコルと、仮想環境での実行を防ぐアンチ解析チェックを組み込んだ、改良された難読化PLUGGYAPE.V2亜種を発見しました。
PLUGGYAPEバックドアの解析により、Pythonで開発され、WebSocketsまたはMQTTを介してコマンド&コントロール(C2)サーバーに接続し、データはJSON形式で送信されることが明らかになりました。
このマルウェアは、MACアドレス、BIOSシリアル番号、プロセッサ識別子に基づくSHA-256ハッシュを用いて固有のデバイス識別子を生成します。永続化は、WindowsレジストリのRunキーを改変することで実現されます。
調査担当者は、193.23.216.39、108.165.164.155、176.9.23.216にホストされたコマンド&コントロールサーバーを特定し、さらにhart-hulp-ua.com、solidarity-help.org、saint-danielの各種バリアントを含む偽慈善ドメインに関連する追加インフラも確認しました。
制御サーバーのアドレスは、検知回避のためにBASE64形式でエンコードされ、PastebinやRentry.coに掲載されることもありました。
ウクライナの防衛要員は、不審なファイル、リンク、または通信を直ちに適切なサイバーセキュリティ当局へ報告してください。
エンタープライズ向けセキュリティソリューションを導入していない組織は、予期しない連絡やファイルのダウンロードの正当性を確認する際、より一層の警戒が必要です。
軍関係者は、疑わしい事案について、ウクライナ軍サイバー対応チーム([email protected])に連絡してください。
翻訳元: https://cyberpress.org/charity-lure-cyber-attacks-ukrainian-defense/