**GreyVibe**は少なくとも2023年8月から活動しており、多様なカスタムマルウェアツールと洗練されたソーシャルエンジニアリング戦術を使用しています。**WithSecure**の研究者は同グループを国家主導のオペレーションとして断定することはできませんが、その活動はロシア国家の利益と一致しています。 **キャンペーン概要** **WithSecure**は2024年1月にこの活動を発見し、ウクライナの組織に焦点を当てていることを明らかにしました。マルウェアパネルの言語、コードコメント、およびUTC+3（モスクワ時間）に設定されたコマンド＆コントロール（C2）サーバーの時間は、ロシア語圏の脅威アクターとの関連性を示す指標となっています。 GreyVibeはいくつかの攻撃チェーンを採用しています。それらには以下が含まれます： * **PhantomMail**: **Google Drive**および4syncリンクを介して悪意のあるZIP/RARアーカイブを配信する標的型フィッシングメール。これらのメールは、ウクライナ政府、緊急サービス、通信、エネルギー関連組織を装い、偽のエラーやデコイPDFを使用しながらマルウェアを展開します。 * **PhantomClick**: **Zoom**およびLAPASサイトを装った偽のCAPTCHA/ClickFixページが、偽の**Cloudflare**検証プロンプトを通じて自己感染コマンドを実行するように被害者を誘導します。 * **PrincessClub**: **FallSpy** Androidスパイウェアおよび**PhantomRelay**/**LegionRelay** Windowsマルウェアを配信する偽のウクライナの成人向け/出会い系サイト。オペレーターは、偽の女性**Telegram**ペルソナとWebRTCベースのライブ通話を使用して、被害者のオーディオ/ビデオをキャプチャします。 * **DroneLink**: FPVドローンとUAVをテーマにした偽のウクライナ軍事慈善ウェブサイトで、PrincessClubキャンペーンとインフラストラクチャおよびツールを共有しています。 * **Nebo**: 「СПО НЕБО」という偽のロシア軍通信ログインページで、ウクライナ軍関係者がロシア軍端末にアクセスしていると信じ込ませるように設計されている可能性が高いです。 **AIを活用した誘引とツール開発** これらの誘引の質と多様性は、**ChatGPT**、**Ideogram AI**、**Google Gemini**などのAIツールを使用して、詳細でリアルなコンテンツを生成したことによるものです。 <div> <figure><img width="800" src="https://www.bleepstatic.com/images/news/u/1100723/GreyVibe_LLM.webp" height="493" alt="GreyVibeが使用する画像内のLLMマーカー"><figcaption><strong>GreyVibeが使用する画像内のLLMマーカー</strong><br><em>出典: WithSecure</em></figcaption></figure> </div> AIは、**LOOKVALPS**、**LOOKVALJS**、**DAYLIGHT**、**TEASOUP**といったツール作成にも役立っており、これらはすべてLLMの支援を受けて開発された可能性が高いカスタムオブスケーショナです。研究者によると、**LegionRelay**というPowerShellベースのリモートアクセス型トロイの木馬もAIツールで開発された可能性が高いとのことです。 LegionRelayは、ファイル窃盗、スクリーンショットキャプチャ、ブラウザ認証情報窃盗、**Telegram**および**WhatsApp**データの外部送信、RDPアクセス設定をサポートしています。 GreyVibeが使用する別のマルウェアである**PhantomRelay**もPowerShell RATです。このマルウェアは、システムフィンガープリント、動的スクリプトロード、PowerShellおよびWindowsコマンド実行をサポートしています。 <div> <figure><img width="900" src="https://www.bleepstatic.com/images/news/u/1220909/2026/May/overview(1).jpg" height="231" alt="マルウェアとキャンペーンの関連性の概要"><figcaption><strong>マルウェアとキャンペーンの関連性の概要</strong><br><em>出典: WithSecure</em></figcaption></figure> </div> PrincessClubおよびNeboキャンペーンで使用される**FallSpy** Androidスパイウェアは、情報収集のために設計されています。連絡先リスト、通話履歴、デバイスおよびネットワーク情報、位置情報、メディアファイル、SIM情報を収集します。 **サイバー犯罪との関連性と不確実性** **WithSecure**は、GreyVibeの活動は国家主導のオペレーションに似ているものの、脅威アクターは成熟した国家支援グループに典型的に関連付けられる洗練度と運用規律を欠いていると指摘しています。**PhantomRelay**がサイバー犯罪活動で使用されていることも、状況をさらに複雑にしています。 初期およびテストサンプルでは、ロシアの侵攻開始時にウクライナを標的とした元**TrickBot**メンバー（UAC-0098）に関連するユニークなISOビルダーが使用されていました。さらに、脅威アクターは開発およびテストサンプルを公開スキャンプラットフォームにアップロードしており、これは国家主導の攻撃者としては異例の行動です。一部の被害者マシンには、暗号通貨マイナーも展開されていました。 研究者は、元または現在のサイバー犯罪メンバーが国家支援グループに吸収されたのか、国家から指示されたタスクを独立して実行しているのか、あるいはハイブリッドチームを形成したのかについて、依然として不確実です。 組織は、**WithSecure**が提供する[侵害の兆候（IoC）](http://github.com/WithSecureLabs/iocs/blob/master/GREYVIBE/greyvibe_iocs.csv)を使用して、GreyVibeの悪意のある活動から防御できます。 <div> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img src="https://www.bleepstatic.com/c/p/validation-gap.jpg" data-src="https://www.bleepstatic.com/c/p/validation-gap.jpg" alt="記事画像"></a></p> <div> <h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">検証ギャップ：自動ペネトレーションテストは1つの質問に答える。あなたは6つ必要。</a></h2> <p>自動ペネトレーションテストツールは実際の価値を提供しますが、それらは1つの質問に答えるために構築されました：攻撃者はネットワークを横断できるか？それらは、あなたのコントロールが脅威をブロックするか、検出ルールが発火するか、クラウド構成が保持されるかをテストするために構築されたものではありません。</p> <p>このガイドでは、実際に検証する必要がある6つのサーフェスについて説明します。</p> <p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">今すぐダウンロード</a></p> </div> </div>