### 詐称と配布 **UAC-0255**と特定された攻撃者は、2026年3月26日および27日に、公式の**CERT-UA**の通信を模倣した電子メールを送信することでフィッシングキャンペーンを開始しました。これらの電子メールには、Files.fm上でホストされたパスワードで保護されたZIPアーカイブが含まれており、受信者に対して、専門的なセキュリティソフトウェアであると主張されるものをインストールするように促していました。 標的は、政府機関、医療センター、セキュリティ企業、教育機関、金融機関、ソフトウェア開発企業など、幅広いセクターに及びました。一部の電子メールは、「incidents@cert-ua[.]tech」のアドレスから送信されました。 ### AGEWHEEZE RATの詳細 ZIPファイル（「CERT_UA_protection_tool.zip」）は、**CERT-UA**のセキュリティツールとして偽装されたマルウェアを展開するように設計されていました。**AGEWHEEZE** RATとして特定されたこのマルウェアは、WebSocketsを介して外部サーバー（「54.36.237[.]92」）と通信するGoベースのトロイの木馬です。 **AGEWHEEZE**は包括的なコマンドセットをサポートしており、攻撃者はコマンドの実行、ファイルの操作、クリップボードの変更、マウスおよびキーボード操作のエミュレーション、スクリーンショットのキャプチャ、プロセスおよびサービスの管理を行うことができます。また、このマルウェアは、スケジュールされたタスク、Windowsレジストリの変更、またはスタートアップディレクトリへの追加を通じて永続性を確立します。  ### 限定的な成功と帰属 **CERT-UA**は、このキャンペーンは限定的な成功に終わったと評価しており、教育機関の従業員の個人デバイスが感染した例が数件特定されたのみでした。同機関は、影響を受けた個人に必要な支援を提供しました。 不正なウェブサイト「cert-ua[.]tech」の分析からは、その作成にAIツールが使用された可能性が示唆されています。HTMLソースコードには、「CYBER SERP」への帰属を示すコメントが含まれていました。 ### Cyber Serpの主張 「ウクライナのサイバー地下組織」と自称する**Cyber Serp**は、Telegramチャンネルでこのキャンペーンに対する責任を主張しました。同組織は、フィッシングメールが100万件のukr[.]netメールボックスに送信され、20万件以上のデバイスが侵害されたと主張しています。 **Cyber Serp**はまた、先月、ウクライナのサイバーセキュリティ企業**Cipher**に対するとされる侵害についても責任を主張しました。**Cipher**は従業員の認証情報が侵害されたことを認めましたが、同社のインフラストラクチャは安全であり、感染したユーザーは機密データを含まない単一のプロジェクトにしかアクセスできなかったと述べています。