## UAC-0247、データ窃盗マルウェアでウクライナの組織を標的に **ウクライナのコンピュータ緊急対応チーム（CERT-UA）**は、ウクライナ政府および地方自治体の医療機関（診療所や救急病院を含む）を標的とした新たなキャンペーンを明らかにしました。この攻撃は、Chromiumベースのウェブブラウザと**WhatsApp**から機密データを窃盗するように設計されたマルウェアを配信します。 ### キャンペーンの詳細 2026年3月から4月にかけて観測されたこの悪意のある活動は、**UAC-0247**と名付けられた脅威クラスターに起因するとされています。このキャンペーンの起源は現時点では不明です。 **CERT-UA**によると、攻撃は人道支援の申し出を装った電子メールから始まります。受信者は、クロスサイトスクリプティング（XSS）の脆弱性を悪用して侵害された正規のウェブサイト、または人工知能（AI）ツールを使用して作成された偽のウェブサイトにリダイレクトされるリンクをクリックするように促されます。 どちらのサイトであっても、目的はWindowsショートカット（LNK）ファイルをダウンロードして実行することです。このファイルは、ネイティブのWindowsユーティリティである`mshta.exe`を使用して、リモートHTMLアプリケーション（HTA）を実行します。HTAファイルは、被害者を欺くためのデコイフォームを表示しながら、`runtimeBroker.exe`のような正規のプロセスにshellcodeを注入するバイナリを取得します。 「同時に、最近のキャンペーンでは2段階ローダーの使用が記録されており、その第2段階は独自の実行可能ファイル形式（コードとデータセクション、動的ライブラリからの関数のインポート、およびリロケーションを完全にサポート）を使用して実装され、最終的なpayloadはさらに圧縮および暗号化されています」と**CERT-UA**は述べています。 ステージャーの1つは、TCPリバースシェルまたはその同等品であり、**RAVENSHELL**として追跡されており、管理サーバーとのTCP接続を確立して、`cmd.exe`を使用してホスト上で実行するためのコマンドを受信します。 感染したマシンには、**AGINGFLY**マルウェアファミリーと**SILENTLOOP**と呼ばれる**PowerShell**スクリプトもダウンロードされます。**SILENTLOOP**には、コマンドの実行、構成の自動更新、および**Telegram**チャンネルからの管理サーバーの現在のIPアドレスの取得機能が含まれており、コマンドアンドコントロール（C2）アドレスを決定するためのフォールバックメカニズムも備えています。 C#で開発された**AGINGFLY**は、侵害されたシステムの遠隔操作のために設計されています。WebSocketsを使用してC2サーバーと通信し、コマンドを実行したり、キーロガーを起動したり、ファイルをダウンロードしたり、追加のpayloadを実行したりできるコマンドを取得します。  ### データ流出とツール 約1ダースのインシデントの調査により、これらの攻撃が偵察、ラテラルムーブメント、および**WhatsApp**とChromiumベースのブラウザからの認証情報やその他の機密データの窃盗を促進していることが明らかになりました。これは、以下のさまざまなオープンソースツールを展開することによって達成されます。 * **ChromElevator**: Chromiumのアプリバウンド暗号化（ABE）保護をバイパスし、Cookieと保存されたパスワードを収集するように設計されたプログラム。 * **ZAPiXDESK**: **WhatsApp** Webのローカルデータベースを復号化するためのフォレンジック抽出ツール。 * **RustScan**: ネットワークスキャナー。 * **Ligolo-Ng**: リバースTCP/TLS接続からのトンネルを確立するための軽量ユーティリティ。 * **Chisel**: TCP/UDP over network trafficをトンネリングするためのツール。 * **XMRig**: 暗号通貨マイナー。 ### ウクライナ国防軍への標的 同庁はまた、ウクライナ国防軍の関係者がキャンペーンの一部として標的とされた可能性を示唆する証拠を発見しました。これは、DLLサイドローディング技術を使用して**AGINGFLY**をドロップするように設計された、**Signal**を介した悪意のあるZIPアーカイブの配布に基づいています。 ### 緩和策 この脅威に関連するリスクを軽減し、攻撃対象領域を最小限に抑えるために、LNK、HTA、およびJSファイル、ならびに`mshta.exe`、`powershell.exe`、`wscript.exe`のような正規のユーティリティの実行を制限することが推奨されます。