概要:巧妙なマルウェアキャンペーンがベラルーシ軍を標的に
2025年10月、Cyble Research and Intelligence Labs (CRIL) のサイバーセキュリティ研究者たちは、軍事文書を装った武器化されたZIPアーカイブを配布する高度なマルウェアキャンペーンを発見しました。この攻撃は特にベラルーシ軍関係者を標的とし、「ТЛГ на убытие на переподготовку.pdf」(再訓練出発のためのTLG.pdf)と題されたおとり文書を使用しています。この作戦は、特に無人航空機およびドローン操作を専門とする特殊作戦司令部の人員に関する地域軍事能力の情報を収集することを目的としていたと示唆されています。
この多段階攻撃は、サイバー諜報技術の著しい進化を示しており、二重ファイル拡張子、サンドボックス対策検証チェック、難読化されたPowerShell実行などの高度な回避手法を用いて、標的システムへの永続的なバックドアアクセスを確立します。マルウェアは、OpenSSH for WindowsとカスタマイズされたTor隠しサービスを組み合わせた複雑なインフラを展開し、obfs4トラフィック難読化を特徴とすることで、攻撃者にSSH、RDP、SFTP、SMBプロトコルを介した匿名のリモートアクセスを提供します。
この攻撃で採用された戦術、技術、手順は、ロシア関連の高度な持続的脅威グループであるSandworm(APT44およびUAC-0125としても知られる)と密接に一致しています。しかし、研究者たちは、確立された標的パターンがない限り、現段階で高い確度での帰属は確認できないと強調しています。より広範な文脈では、ウクライナのCERT-UAおよびSSSCIPからの情報報告と一致しており、2025年上半期に3,000件以上のサイバーインシデントが記録され、その多くがAI生成のフィッシングコンテンツとますます高度化するマルウェアを利用していました。戦術パターン、重複するインフラ、および2024年12月のArmy+キャンペーンからの進化に基づくと、この攻撃はSandwormのUnit 74455に関連する実証済みの技術の継続的な改善を示しています。2013年以来、この部隊はウクライナの軍事および重要インフラに対して数多くのサイバー攻撃を実施しており、2015年の停電を引き起こしたBlackEnergy攻撃、2017年の大規模なNotPetyaマルウェアアウトブレイク、2023年のウクライナ最大の通信事業者Kyivstarへの侵害などが含まれます。2024年12月のArmy+偽インストーラーキャンペーンは直接の前駆体として機能し、偽のCloudflare Workersサイトを通じて配布された悪意のあるNSISインストーラーが、Torを介して隠されたSSHアクセスを作成するPowerShellスクリプトを展開しました。
高度な回避技術
この攻撃は、自動検出システムを回避するために特別に設計されたネストされたZIPアーカイブ、LNKファイルの偽装、およびサンドボックス対策チェックを特徴としています。ペイロードを実行する前に、マルウェアは少なくとも10個の最近のLNKファイルと最低50個の実行中のプロセスをチェックすることでシステム特性を検証します。これらは通常サンドボックス環境には存在しないが、実際のユーザーマシンには存在する条件です。この検証により、マルウェアは分析環境では終了し、正当なワークステーションでは感染を続行します。
obfs4プラグ可能トランスポートの実装は、主要な技術的進歩を表しており、Torトラフィックを通常のネットワークアクティビティとして効果的に偽装し、以前のキャンペーンで使用された標準のTorプロトコルと比較して検出を著しく困難にしています。隠されたTorサービスを通じて、攻撃者はSSH、RDP、SFTP、SMBを含む複数のプロトコルにアクセスし、匿名性を維持しながら完全なシステム制御を可能にします。すべての通信は、セキュリティアラートを引き起こす可能性のあるオンザフライのキー生成の必要性を排除するために、事前にインストールされた暗号化RSAキーを使用して匿名オニオンアドレスを介して行われます。
現在の脅威は、強化されたセキュアなTor通信のためのobfs4の追加、信頼性の高い永続性のためのスケジュールされたタスクの実装、および検出リスクと運用フットプリントを最小限に抑えるための事前生成されたRSAキーの戦略的な使用など、以前の操作と比較して戦術的な改善を示しています。
マルチプロトコルアクセスフレームワーク
感染チェーンは、被害者が悪意のあるZIPアーカイブを解凍し、PDF文書を装ったLNKファイルと追加のペイロードを含む隠しディレクトリに遭遇するところから始まります。正当な軍事文書に見えるものを開くと、LNKファイルはPowerShellコマンドをトリガーし、ファイルをシステムのAppDataディレクトリに抽出し、セカンドステージスクリプトを実行します。このスクリプトは、2025年10月16日付けのミンスク州の軍事部隊B/4 89417からの本物に見えるロシア語の軍事命令を示すおとりPDFを表示し、脅威アクターの軍事作戦および管理手順への理解を示しています。
被害者がおとり文書を閲覧している間に、マルウェアは2つのスケジュールされたタスクを通じて永続性を確立します。最初のタスクは、正当なソフトウェアを装ったMicrosoft署名付きバイナリを使用してOpenSSHサービスを展開し、厳格なRSAキーベースの認証でポート20321をリッスンします。2番目のタスクは、SSH(ポート20322)、SMBファイル共有(ポート11435)、リモートデスクトッププロトコル(ポート13893)を含む複数のWindowsサービスへのポート転送を備えたTor隠しサービスを確立します。
隠しサービスを確立した後、マルウェアは侵害されたシステムを識別する一意のオニオンURLを構築し、積極的な再試行ロジックを持つcurlを使用してコマンド&コントロールインフラに流出させます。CRILの研究者たちは、バックドア機能を確認するためにSSH経由で正常に接続しましたが、監視中に二次ペイロードやポストエクスプロイトアクションは観察されず、この操作がアクティブな悪用前の偵察または監視段階にあることを示唆しています。
防御チームは、エンドポイントの挙動分析、プロセス実行チェーンの監視、およびスケジュールされたタスクの監査に焦点を当てるべきです。なぜなら、obfs4で難読化されたTor通信は、ネットワークベースの検出を著しく困難にするからです。軍事部隊および防衛部門の組織は、現実的な軍事文書を利用したソーシャルエンジニアリング攻撃に対して特に脆弱であり、強化されたセキュリティ意識向上トレーニングとエンドポイント検出機能の必要性が強調されています。
侵害の痕跡 (Indicators of Compromise)
- SHA-256 30a5df544f4a838f9c7ce34377ed2668e0ba22cc39d1e26b303781153808a2c4 – Zipアーカイブ
- SHA-256 99ec6437f74eec19e33c1a0b4ac8826bcc44848f87cd1a1c2b379fae9df62de9 – LNKファイル
- SHA-256 7269b4bc6b3036e5a2f8c2a7908a439202cee9c8b9e50b67c786c39f2500df8f – Powershellスクリプト
- SHA-256 5d3a6340691840d1a87bfab543faec77b4a9d457991dd938834de820a99685f7 – ТЛГ на убытие на переподготовку.pdf – おとり文書
- SHA-256 08db5bb9812f49f9394fd724b9196c7dc2f61b5ba1644da65db95ab6e430c92b – obfs4proxy.exe (confluence.exe) – マルウェアではない
- SHA-256 a0eed0e1ef8fc4129f630e6f68c29c357c717df0fe352961e92e7f8c93e5371b – SFTP (ebay.exe) – マルウェアではない
- SHA-256 710e8c96875d6a3c1b4f08f4b2094c800658551065b20ef3fd450b210dcc7b9a – OpenSSH for Windows sshd.exe (githubdesktop.exe) – マルウェアではない
- SHA-256 7946a2275c1c232eebed6ead95ea4723285950175586db1f95354b910b0a3cce – pinterest.exe – マルウェアではない
- ドメイン yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd.onion