ベラルーシと連携する**Ghostwriter**（UAC-0057およびUNC1151としても知られる）として知られる攻撃者は、ウクライナの政府組織を標的に、ウクライナのオンライン学習プラットフォームであるプロメテウスに関連するルアーを使用していることが確認されています。ウクライナのコンピュータ緊急対応チーム（CERT-UA）は、2026年春以降、侵害されたアカウントからのフィッシングメール送信を含むこの活動を追跡しています。 ### フィッシングキャンペーンの詳細 CERT-UAによると、フィッシングメールには通常、リンクを含むPDF添付ファイルが含まれています。このリンクをクリックすると、悪意のあるJavaScriptファイルを含むZIPアーカイブのダウンロードにつながります。 同機関は木曜日の報告書で、「通常、メールにはリンクを含むPDF添付ファイルが含まれており、それをクリックするとJavaScriptファイルを含むZIPアーカイブのダウンロードにつながります」と述べています（[出典](https://cert.gov.ua/article/6315762)）。 ### マルウェアの内訳：OYSTERFRESH、OYSTERBLUES、OYSTERSHUCK OYSTERFRESHという名前のJavaScriptファイルは、ドロッパーとして機能します。ユーザーを distract するためにデコイドキュメントを表示しながら、難読化および暗号化されたペイロードであるOYSTERBLUESをWindowsレジストリにステルスで書き込みます。また、OYSTERBLUESのデコードを担当するOYSTERSHUCKをダウンロードして起動します。 OYSTERBLUESは、コンピューター名、ユーザーアカウントの詳細、OSバージョン、前回のOS起動時刻、実行中のプロセスのリストを含むシステム情報を収集するように設計されています。このデータは、HTTP POSTリクエストを介してコマンドアンドコントロール（C2）サーバーに送信されます。 初期のデータ流出後、マルウェアは次のステージのJavaScriptコードの形式でさらなる指示を待ちます。このコードは`eval()`関数を使用して実行されます。最終的なペイロードは、ポストエクスプロイトタスクで一般的に悪用されるアドバーサリーシミュレーションフレームワークである**Cobalt Strike**であると評価されています。  ### 緩和策の推奨事項 CERT-UAは、「このサイバー脅威が悪用される可能性を減らすために、既知の基本的なアプローチを適用し、特に標準ユーザーアカウントに対してwscript.exeを実行する能力を制限することによって、攻撃対象領域を削減することが推奨されます」とアドバイスしています。 ### サイバー戦争と影響力作戦におけるAI この開示は、ロシアによる人工知能（AI）ツールの使用増加に関するウクライナ国家安全保障国防会議からの最近の発表と一致しています。**OpenAI**のChatGPTや**Google** Geminiなどのこれらのツールは、偵察とターゲット選定に使用されています。さらに、AIは実行時に悪意のあるコマンドを生成するためにマルウェアに統合されています。 同会議は、2025年に観測された主な攻撃ベクトルを強調しました。これには、ソーシャルエンジニアリング、脆弱性の悪用、侵害されたRDPおよびVPNアカウント、サプライチェーン攻撃、およびバックドアが組み込まれたライセンスのないソフトウェアの使用が含まれていました。 ### Blueskyにおける親クレムリンプロパガンダキャンペーン 別の展開として、2024年以降、正当な**Bluesky**ユーザーアカウントを乗っ取って偽のコンテンツを拡散する親クレムリンプロパガンダキャンペーンに関する詳細が明らかになりました。標的にはジャーナリストや教授が含まれていました。この活動は、Matryoshkaキャンペーンに関連付けられているモスクワを拠点とする企業である**Social Design Agency**に起因しています。**Bluesky**は、影響を受けたアカウントを所有者がリセットするまで一時停止することで対応しました。