## AgingFlyマルウェア、ウクライナの病院と政府を標的としたスパイ活動キャンペーン ハッカーが、**AgingFly**と呼ばれるマルウェアツールを使用した新たなスパイ活動キャンペーンで、ウクライナの病院や地方自治体を標的にしていると研究者は述べています。 **CERT-UA**は、この活動が過去2ヶ月間にわたり、自治体当局、臨床病院、救急医療サービスに対して複数の攻撃を開始した、UAC-0247として追跡されているグループによって実行されたと報告しました。 **CERT-UA**によると、ハッカーは機密データを盗み、場合によっては侵害されたシステムを悪用して仮想通貨をマイニングしようとしました。 ### フィッシング攻撃と悪意のあるペイロード 攻撃は通常、人道支援の提案に関する議論を装ったフィッシングメールから始まりました。受信者は、悪意のあるアーカイブファイルのダウンロードにつながるリンクをたどるように求められました。 メッセージをより説得力のあるものにするために、攻撃者は偽の組織のウェブサイトを作成したり（人工知能を使用して生成された可能性あり）、正規のウェブサイトに悪意のあるスクリプトを埋め込んだりすることもありました。 アーカイブが開かれると、**AgingFly**、**SilentLoop**、**ChromeElevator**、**ZapixDesk**を含む複数のマルウェアがインストールされました。 ### AgingFlyの機能 **CERT-UA**によると、**AgingFly**は攻撃者が感染したコンピューターをリモートで制御できるようにし、コマンドの実行、ファイルのダウンロード、スクリーンショットのキャプチャ、キーストロークの記録、任意のコードの実行を可能にします。別のツールである**SilentLoop**は、コマンドを実行し、**Telegram**チャンネルを介して攻撃者のコマンド・アンド・コントロールサーバーの現在の住所を取得できます。 攻撃者はまた、**ChromeElevator**を使用してインターネットブラウザから、または**ZapixDesk**と呼ばれるツールを使用して**WhatsApp**アカウントから、認証情報やその他の機密情報を抽出しようとしました。 あるケースでは、調査官は正規の仮想通貨マイニングツールである**XMRig**の使用を検出しており、攻撃者が被害者のコンピューティングリソースを使用してデジタル通貨を生成した可能性が示唆されています。 ### 防衛部隊の標的化 **CERT-UA**はまた、ウクライナの防衛部隊のメンバーも同様の戦術で標的にされる可能性があると警告しました。3月には、攻撃者がドローンオペレーター向けの更新されたソフトウェアパッケージと称するものを**Signal**メッセージングアプリ経由で配布したという報告が同庁に寄せられました。アーカイブファイルには、**AgingFly**をインストールするマルウェアが含まれていました。 ### APT28の活動 今週初め、**Reuters**は、別の事件で、ロシア関連のハッカーがウクライナの検察官や捜査官の170以上のメールアカウントに侵入したと報じました。標的は近隣の**NATO**諸国やバルカン半島にも及んでいました。 **Ctrl-Alt-Intel**のサイバー研究者は、このキャンペーンを**Fancy Bear**、**BlueDelta**、または**Forest Blizzard**としても知られる**APT28**として知られるグループによるものと特定しました。 研究者によると、ハッカーは、ロシアのスパイ活動に関する捜査を監視するため、またはキエフの有力者の機密情報収集のために、ウクライナの法執行機関を標的にした可能性が高いとのことです。 [](https://www.recordedfuture.com/platform?mtm_campaign=ad-unit-record)