🛡 概要
ロシアの国家支援を受けた脅威グループAPT28が、ウクライナの政府機関を標的にSignalチャットを利用して新たなマルウェア攻撃を行っています。攻撃には、BeardShellとSlimAgentという2つの未文書化のマルウェアファミリーが関与しています。この攻撃はSignalのセキュリティ問題ではなく、政府がSignalを利用することが増えたため、フィッシング攻撃の一環として脅威アクターがこのメッセージングプラットフォームを利用しているのです。
🔍 技術詳細
ウクライナのコンピュータ緊急対応チーム(CERT-UA)が2024年3月に最初に発見したこの攻撃は、特定の感染ベクターに関する詳細は限られていましたが、2025年5月にESETがgov.uaのメールアカウントへの不正アクセスを通知しました。この新たな調査の中で、CERT-UAはSignalを通じて送信された悪意のある文書(Акт.doc)がターゲットに配信され、マクロを使用してCovenantというメモリ常駐バックドアを読み込むことを発見しました。Covenantはマルウェアローダーとして機能し、DLL(PlaySndSrv.dll)とシェルコードを含むWAVファイル(sample-03.wav)をダウンロードします。BeardShellはC++で書かれた未文書化のマルウェアで、PowerShellスクリプトをダウンロードし、’chacha20-poly1305’を使用して復号化、実行します。実行結果はコマンド&コントロール(C2)サーバーに送信され、Icedrive APIを介して通信が行われます。
⚠ 影響
APT28の攻撃は、ウクライナを含む複数の国の重要な組織に対するサイバー諜報活動の一環です。CERT-UAはAPT28の活動をUAC-0001として追跡しており、潜在的なターゲットにはapp.koofr.netおよびapi.icedrive.netとのネットワークインタラクションを監視することを推奨しています。特に、SlimAgentというスクリーンショット取得ツールがWindows API関数を使用してスクリーンショットを取得し、それらの画像をAESおよびRSAで暗号化してローカルに保存します。これにより、APT28のC2サーバーへの情報漏洩のリスクが高まります。
🛠 対策
APT28によるSignalを利用した攻撃に対抗するためには、まずはフィッシング攻撃に対する意識を高めることが重要です。ユーザーは、信頼できる情報源からのリンクや添付ファイルを開く前に、必ず慎重に確認する必要があります。また、ネットワーク監視ツールを使用して、異常なトラフィックや不審なアクティビティを早期に検出することが求められます。さらに、セキュリティパッチを定期的に適用し、システムを最新の状態に保つことで、脅威の侵入を防ぐことができます。特に、Signalのようなメッセージングプラットフォームにおいては、機密情報の取り扱いに細心の注意を払い、アカウントのセキュリティを強化するために二要素認証を活用することが推奨されます。
