APT28関連キャンペーンがウクライナでBadPawローダーとMeowMeowバックドアを展開

サイバーセキュリティ研究者らは、ウクライナの組織を標的とした新しいロシアのサイバー攻撃キャンペーンについて、詳細を公表しました。このキャンペーンでは、BadPawとMeowMeowと呼ばれる2つの未公開のマルウェアファミリーが使用されています。

攻撃の手口

攻撃の手口は、フィッシングメールから始まります。このメールには、ZIPアーカイブへのリンクが含まれており、アーカイブを展開すると、HTAファイルが表示されます。このHTAファイルは、ウクライナ語で書かれた偽の文書を表示し、被害者を欺くために使用されます。

BadPawローダーとMeowMeowバックドア

攻撃のチェーンは、.NETベースのローダーであるBadPawを展開し、これがリモートサーバーと通信して、高度なバックドアであるMeowMeowをダウンロードおよび展開します。

APT28の関連性

このキャンペーンは、APT28と関連があると中程度の確信を持って指摘されています。これは、標的の範囲、誘導文書の地理的性質、および以前のロシアのサイバー攻撃で観察された手法との重複に基づいています。

攻撃の詳細

• 攻撃は、ukr[.]netから送信されたフィッシングメールから始まります。
• メールには、ZIPファイルへのリンクが含まれており、ユーザーがURLにリダイレクトされます。
• このURLは、「非常に小さな画像」をロードし、攻撃者がリンクがクリックされたことを知るためのトラッキングピクセルとして機能します。
• 次に、ユーザーはセカンダリURLからアーカイブをダウンロードします。
• ZIPファイルには、HTAファイルが含まれており、これが偽の文書をドロップし、バックグラウンドで次のステージを実行します。

BadPawローダーの詳細

HTAファイルは、サンドボックス環境で実行しないようにするためのチェックを行います。これは、Windowsレジストリキー「KLM\

元記事: https://thehackernews.com/2026/03/apt28-linked-campaign-deploys-badpaw.html