概要
BlueVoyantは、ロシアと関連するサイバー犯罪グループであるUAC-0050(DaVinci Group)が、ウクライナの司法ドメインを偽装したメールを使用して、欧州の金融機関を標的とした攻撃を行ったことを報告しました。
攻撃の詳細
この攻撃は、地域開発と再建支援に関与している未公開の組織を標的にしています。攻撃者は、PixelDrainというファイル共有サービスを利用して、受信者にダウンロードするよう誘導するスパムメールを送りました。
このメールには、ウクライナ司法ドメインを偽装したリンクが含まれており、そのリンクはリモートアクセスペイロードの配布につながります。標的となったのは、調達に関与している法務および政策アドバイザーでした。
マルウェアの展開
攻撃者はZIPファイルを介してマルウェアを展開します。このZIPファイルにはRARアーカイブが含まれており、その中にはパスワード保護された7-Zipファイルがあります。
- RARアーカイブ内の7-Zipファイルは、PDFドキュメントとして偽装した実行可能ファイルを含んでいます。
この実行可能ファイルの起動により、Remote Manipulator System (RMS)と呼ばれるロシア製リモートデスクトップソフトウェアがインストールされます。RMSは遠隔制御、デスクトップ共有、およびファイル転送を可能にするツールです。
攻撃の背景
UAC-0050は、ウクライナの組織や会計士、財務責任者を主な標的としてきましたが、この攻撃はウクライナ支援機関に対する探査を示唆しています。
今後の動向
CrowdStrikeは、ロシアと関連するサイバー犯罪グループがウクライナやNATO加盟国からの情報収集に焦点を当てた攻撃を継続すると予測しています。
元記事: https://thehackernews.com/2026/02/uac-0050-targets-european-financial.html