ウクライナのコンピュータ緊急対応チーム（**CERT-UA**）は、ウクライナ国内の地方自治体や病院に対する攻撃で積極的に使用されている新しいマルウェアファミリー「AgingFly」を特定しました。このマルウェアの主な目的は、ChromiumベースのブラウザとWhatsAppメッセンジャーから認証情報を窃取することです。 先月発見されたこれらの攻撃は、フォレンジック証拠によると、国防軍の関係者を標的としている可能性があります。 CERT-UAは、これらの攻撃をUAC-0247として追跡されているサイバー脅威クラスターに帰属させています。 ### 攻撃チェーン 攻撃チェーンは、人道支援の申し出を装ったフィッシングメールから始まります。被害者は埋め込まれたリンクをクリックするように誘導されます。 このリンクは、クロスサイトスクリプティング（XSS）の脆弱性を利用して侵害された正規のサイト、またはAIツールを使用して生成された偽のサイトにリダイレクトされます。 その後、ターゲットはショートカットファイル（LNK）を含むアーカイブを受け取ります。このファイルは、組み込みのHTAハンドラーを起動します。このハンドラーはリモートリソースに接続してHTAファイルを検索し、実行します。 HTAファイルは、ユーザーを混乱させるためのデコイフォームを表示する一方で、スケジュールされたタスクが作成されます。このタスクは、正規のプロセスにシェルコードを注入するEXEペイロードをダウンロードして実行します。 次に、攻撃者は2段階のローダーを展開し、2段階目ではカスタム実行可能形式を使用します。最終的なペイロードは圧縮および暗号化されます。 「典型的なTCPリバースシェルまたはRAVENSHELLとして分類される類似のものがステージャーとして使用される可能性があり、これにより管理サーバーとのTCP接続を確立できます」とCERT-UAは報告書で述べています。 XOR暗号を使用して暗号化されたTCP接続は、コマンド・アンド・コントロール（C2）サーバーと確立され、Windowsコマンドプロンプトを介したコマンド実行を可能にします。 その後、AgingFlyマルウェアが配信および展開されます。**PowerShell**スクリプト（SILENTLOOP）は、コマンドの実行、設定の更新、および**Telegram**チャンネルまたはフォールバックメカニズムからのC2サーバーアドレスの取得に使用されます。  複数のインシデントを調査した後、研究者たちは、攻撃者が**ChromElevator**というオープンソースのセキュリティツールを使用してブラウザデータを窃取していることを発見しました。ChromElevatorは、管理者権限を必要とせずに、Chromiumベースのブラウザ（例：**Google Chrome**、**Microsoft Edge**、**Brave**）からクッキーや保存されたパスワードなどの機密情報を復号化して抽出します。 攻撃者は、ZAPiDESKというオープンソースのフォレンジックツールを使用してデータベースを復号化することにより、Windows用WhatsAppアプリケーションから機密データを抽出しようともします。 研究者たちは、RustScanポートスキャナーやLigolo-ngおよびChiselトンネリングツールなどの公開されているユーティリティを利用した偵察活動とネットワーク内のラテラルムーブメントを観察しています。 ### AgingFlyのユニークな特徴 **C#**で記述されたAgingFlyは、オペレーターにリモートコントロール、コマンド実行、ファイル流出、スクリーンショットキャプチャ、キーロギング、および任意のコード実行機能を提供します。 WebSocketsを介してC2サーバーと通信し、静的キーを使用してトラフィックをAES-CBCで暗号化します。 注目すべきは、AgingFlyには事前に構築されたコマンドハンドラーが含まれていないことです。代わりに、C2サーバーからソースコードとして受信し、ホスト上でコンパイルします。 「類似のマルウェアと比較してAGINGFLYの際立った特徴は、コードに組み込みのコマンドハンドラーが存在しないことです。代わりに、それらはC2サーバーからソースコードとして取得され、実行時に動的にコンパイルされます」とCERT-UAは説明しています。 このアプローチは、初期ペイロードのサイズを小さくし、オンデマンドでの機能変更、および静的検出の回避の可能性を提供します。しかし、複雑さが増し、C2接続に依存し、実行時のフットプリントが拡大するため、検出リスクが高まる可能性があります。 CERT-UAは、このキャンペーンで使用される攻撃チェーンを中断するために、LNK、HTA、およびJSファイルの実行をブロックすることをユーザーに推奨しています。