ウクライナ国防軍を狙う新たな脅威
2025年10月から12月にかけて、ウクライナ国防軍の当局者を標的とした新たなマルウェアキャンペーンが展開されました。このキャンペーンでは、慈善活動を装った手口で「PluggyApe」と呼ばれるバックドア型マルウェアが拡散されています。ウクライナのCERT(CERT-UA)は、この攻撃がロシアの脅威グループ「Void Blizzard」および「Laundry Bear」によるものである可能性が高いと報告しています。
Laundry Bearは、2024年にオランダ警察の内部システムを侵害し、機密情報を窃取したことで知られるグループです。彼らはNATO加盟国を標的とし、ロシアの利益に合致する形でファイルや電子メールを窃取する活動を行っています。
巧妙な手口とマルウェアの詳細
CERT-UAが観測した攻撃は、SignalやWhatsAppのようなインスタントメッセージから始まります。メッセージの受信者は、慈善団体のウェブサイトを装ったURLに誘導され、関心のある文書が入っているとされるパスワード保護されたアーカイブファイルをダウンロードするよう促されます。しかし、これらのアーカイブには、PluggyApeのペイロードを含む悪意のあるPIFファイル(.docx.pif)が含まれています。場合によっては、マルウェアがメッセージアプリを通じて直接送信されることもあります。
この悪意あるPIFファイルは、Pythonアプリケーションを単一のパッケージにバンドルするためのオープンソースツール「PyInstaller」を使用して作成された実行可能ファイルです。
- PluggyApeの機能:
このバックドアは、ホストの情報をプロファイルし、被害者固有の識別子を含む情報を攻撃者に送信した後、遠隔からのコード実行コマンドを待ちます。Windowsレジストリを改変することで永続性を確保します。
- PluggyApeの進化:
以前の攻撃では「.pdf.exe」拡張子がローダーに使用されていましたが、2025年12月以降、攻撃者はPIF形式とPluggyApeバージョン2に切り替えました。バージョン2は、より優れた難読化、MQTTベースの通信、および高度な対分析チェックを特徴としています。
- C2アドレスの取得:
PluggyApeは、そのコマンド&コントロール(C2)アドレスを、rentry.coやpastebin.comのような外部ソースからBase64エンコード形式で取得します。これにより、ハードコードされたエントリーよりも柔軟な運用が可能になっています。
モバイルデバイスへの警告と攻撃の洗練化
CERT-UAは、モバイルデバイスがこの種の攻撃において主要な標的になっていると警鐘を鳴らしています。一般的に保護や監視が不十分なため、攻撃者にとって格好の標的となるからです。また、攻撃者は侵害されたアカウントやウクライナの通信事業者の電話番号を利用し、標的となる個人、組織、その業務内容に関する詳細かつ関連性の高い知識を示すことで、攻撃の説得力を高めていると説明しています。
CERT-UAの報告書には、慈善ポータルを装った詐欺ウェブサイトを含む、侵害の痕跡(IoC)の完全なリストが提供されています。