ウクライナコンピュータ緊急対応チーム(CERT-UA)は、2026年3月と4月を通じて市民政府と医療機関を標的とするUAC-0247脅威グループによるサイバー攻撃の深刻な急増を特定しました。
この高度なキャンペーンは臨床および救急病院に大きく焦点を当てており、Webブラウザとコンテンツを削除 WhatsAppアカウントから機密データを収集するためのカスタムマルウェアを配備しています。
攻撃は通常、人道支援提案を議論しているように見える詐欺的なフィッシングメールで始まります。これらのメッセージは、クロスサイトスクリプティング(XSS)脆弱性によって侵害された正当なWebサイトにリダイレクトする悪意のあるリンクをクリックするよう被害者を誘います。
欺瞞をより説得力のあるものにするために、攻撃者は人工知能ツールを使用して生成された完全に偽の組織ウェブページも配備します。
被害者がリンクをクリックすると、システムは悪意のあるショートカット(LNK)ファイルを含む圧縮アーカイブをダウンロードします。
このショートカットを開くと、HTAファイルを実行し、デコイフォームを表示し、スケジュールされたタスク経由で実行可能なペイロードをサイレントダウンロードしてRuntimeBroker.exeなどの正当なプロセスにシェルコードを注入する一連の反応がトリガーされます。
ネットワークに確立されると、UAC-0247グループは積極的にデータ流出と横方向の動きに焦点を当てます。
攻撃者は、Chromiumベースのブラウザの保護をバイパスして認証資格情報を抽出するCHROMELEVATORという名前のユーティリティを含む、機密通信を盗むための特殊なツールを使用します。
さらに、彼らはローカルWhatsApp Webデータベースを復号化するために設計されたフォレンジック抽出ツールであるZAPIXDESKを使用します。
脅威行為者は、RUSTSCANなどのサブネットスキャナーを使用して広範なネットワーク偵察を実施し、LIGOLO-NGおよびCHISELなどのユーティリティを使用して隠されたネットワークトンネルを確立します。
一部の隔離されたケースでは、攻撃者は正当なWIREGUARDアプリケーションの改変されたバージョン内に隠されたXMRIG暗号通貨マイナーを配備しました。
民間インフラを超えて、キャンペーンはウクライナ防衛軍を積極的に標的としています。
2026年3月、攻撃者はSignalメッセージングアプリを使用して「BACHU」というドローンオペレーターソフトウェアの偽のアップデートを配布しました。この悪意のあるアーカイブは、DLLサイドローディング経由でAGINGFLYバックドアを秘密裏にインストールしました。
標準的なオペレーティングシステムの保護メカニズムに依存することにより、組織は初期の感染ベクトルを破壊し、攻撃者が足がかりを確立することを防ぐことができます。
翻訳元: https://cyberpress.org/uac-0247-data-theft-campaign/
