概要:慈善を装うサイバー攻撃
ウクライナのサイバーセキュリティ当局は、同国の防衛軍を標的とした持続的かつ巧妙なキャンペーンを発見しました。ロシア関連の脅威アクターが、慈善寄付の要請を装ってマルウェアを配布していることが明らかになりました。
2025年10月から12月にかけて、ウクライナ国家サイバーインシデント対応チーム(CERT-UA)および国軍サイバーインシデント対応チームは、Pythonベースのバックドア「PLUGGYAPE」を利用した複数の連携攻撃を記録しています。
このキャンペーンは、Void Blizzard(Laundry Bear、UAC-0190としても追跡)という脅威アクターによるものと中程度の確度で評価されており、軍関係者を狙ったソーシャルエンジニアリング戦術の進化を示しています。
攻撃手法:巧妙な偽装と配布
攻撃は、一般的なメッセージングプラットフォームを通じて送信されるメッセージから始まります。これらのメッセージは、ターゲットを正規の慈善財団になりすました不正なウェブサイトへと誘導します。これらの偽装サイトは、通常パスワードで保護されたアーカイブとして、悪意のある実行可能ファイルを含むドキュメントのダウンロードを促します。
多くの場合、実行可能ファイル自体が.docx.pifファイルとしてメッセンジャーを通じて直接届きます。これは、正規のWordドキュメントとの視覚的な類似性を悪用したものです。この「二重拡張子」の手法は、ユーザーの混乱を利用します。ファイルはドキュメントに見えますが、クリックするとWindowsプログラムファイルとして実行されるのです。
PLUGGYAPEマルウェアの機能
少なくとも5つのキャンペーンの分析により、PIFファイルがPLUGGYAPEをラップするPyInstallerコンパイル済み実行可能ファイルとして機能していることが判明しました。PLUGGYAPEはPythonで開発されたフル機能のバックドアです。このマルウェアは、WebSocketおよびMQTTプロトコルを介してコマンド&コントロール(C2)通信を確立し、JSON形式でデータを送信します。
実行されると、PLUGGYAPEはMACアドレス、BIOSシリアル番号、ディスクシリアル番号、プロセッサ識別子などのハードウェア特性をSHA-256でハッシュ化し、最初の16バイトのみを保持することで、一意のデバイス識別子を生成します。また、WindowsのRunキーにレジストリエントリを作成することで永続性を確立し、システム再起動時に自動実行されるようにすることで、標準的な監視による検出を困難にしています。
マルウェアの進化と検出回避
2025年10月には、攻撃者は.pdf.exeファイルを配布し、Pythonインタープリターと初期のPLUGGYAPE亜種をPastebinリポジトリから直接フェッチするダウングレードローダーとして機能させました。
12月には、脅威アクターは改良され、難読化されたバージョンであるPLUGGYAPE.V2を展開しました。これにはMQTTプロトコル実装と、サンドボックス環境での分析を回避するための複数の仮想化検出チェックが組み込まれています。特筆すべきは、分析されたいくつかのサンプルでは、コマンド&コントロールサーバーのアドレスがハードコードされた値ではなく、rentry.coやpastebin.comなどのサービスにBASE64エンコードされた文字列として公開されており、マルウェアの再コンパイルを必要とせずに迅速なインフラストラクチャの変更を可能にしている点です。
現在の脅威状況と推奨事項
CERT-UAは、脅威の状況が加速的に進化し続けていることを強調しています。攻撃者は、侵害された正規アカウント、ウクライナの携帯電話番号、流暢なウクライナ語のスキルと、初期偵察時の詳細な組織的知識を組み合わせて利用する傾向が強まっています。モバイルおよびパーソナルコンピューターにインストールされたメッセージングアプリケーションは、ウクライナのターゲットに対するサイバー脅威の主要な配信経路となっています。
組織および個人は、疑わしい侵害の兆候を国軍サイバーインシデント対応チームに直ちに報告するよう強く求められています。