2026年3月26日から27日にかけて、ウクライナコンピュータ緊急対応チーム(CERT-UA)は、脅威アクターが当機関になりすましてマルウェアを配布する悪意のあるサイバーキャンペーンを阻止した。
攻撃者はCERT-UAからのものと称する欺瞞的なメールを送信し、受信者に「特殊な保護ソフトウェア」と称するものをダウンロードしてインストールするよう促した。
有用なセキュリティツールの代わりに、ダウンロードされたファイルはAGEWHEEZEと特定される危険なGoベースのリモートアクセストロージャン(RAT)を展開した。
攻撃を正当に見せるために、脅威アクターは複数の層の詐欺を使用した。フィッシングメールは被害者に、人気のあるファイル共有サービスFiles.fmからパスワードで保護されたZIPアーカイブをダウンロードするよう指示した。これらの欺瞞的なアーカイブは「CERT_UA_protection_tool.zip」または「protection_tool.zip」という名前が付けられていた。
偽のウェブサイトのHTMLコードを表面的に確認したところ、セキュリティ研究者は「With Love, CYBER SICKLE」という隠されたメッセージを発見した。これはTelegramチャンネルへのリンクが付いていた。
2026年3月28日、この特定のTelegramチャンネルの投稿は、サイバー攻撃の責任を公式に主張した。
これは攻撃者のアイデンティティに関する不確実性を排除し、CERT-UAは現在、識別子UAC-0255の下でこの特定の脅威グループを追跡している。
この攻撃の核は、内部的に「agent」と名付けられ、CERT-UAによってAGEWHEEZEとして分類されたマルウェアパッケージに依存していた。このRATはGoで書かれており、攻撃者に感染したコンピュータに対する完全なリモートコントロールを与えるよう設計されている。
AGEWHEEZEは基本的なファイル管理をはるかに超えている。ライブスクリーンブロードキャスト、リモートマウスとキーボードのエミュレーション、クリップボード読み取り、広範なプロセス管理など、高度な監視と制御機能をサポートしている。
マルウェアはWebSocketsを使用してコマンド&コントロール(C2)サーバーと通信する。研究者はこのC2サーバーがOVHインフラストラクチャでホストされていることを発見した。
興味深いことに、C2ウェブインターフェースは「The Cult」というタイトルの認証ページを備えており、メンバーシップが一時停止され、「The Cult」へのアクセスがブロックされたことを警告するロシア語の文字列が含まれていた。
マルウェアがコンピュータの再起動を生き残ることを保証するため、AGEWHEEZEは複数の永続化技術を使用する。オペレーティングシステムレジストリを変更したり、Windows Startupフォルダに自身を配置したり、隠されたスケジュール済みタスクを作成したりできる。
調査中、研究者はマルウェアがアプリケーションデータフォルダにインストールされ、その存在を維持し特権を昇格させるために「SvcHelper」および「CoreService」という名前のスケジュール済みタスクが作成されたことを指摘した。
これらのタイプの進化する脅威から防御するために、CERT-UAは強く推奨しており、組織は攻撃面を削減するための即座の措置を取るべきである。
管理者は、ソフトウェア制限ポリシー(SRP)またはAppLockerなどの組み込みオペレーティングシステム保護を構成して、未承認の実行ファイルの実行を防ぐべきである。
さらに、メッセージが信頼されたサイバーセキュリティ当局から来たように見えても、ユーザーはフィッシングメールに対して高度な警戒を保つ必要がある。
翻訳元: https://cyberpress.org/cert-ua-spoofing-drops-gorat/