UAC-0190攻撃の検知:ウクライナ軍に対する偽の慈善団体を用いたPLUGGYAPEバックドアの展開

[post-views]
1月 14, 2026 · 8 分で読めます
UAC-0190攻撃の検知:ウクライナ軍に対する偽の慈善団体を用いたPLUGGYAPEバックドアの展開

2026年1月12日、CERT-UAチームは、ウクライナ軍に対するターゲット型サイバー諜報活動キャンペーンを開示しました。このキャンペーンは、チャリティーをテーマにしたソーシャルエンジニアリングを悪用してPLUGGYAPEバックドアを配信しました。2025年10月から12月にかけて観察されたこの活動は、中程度の確信を持って次のように帰属されています。 ロシアに関連する脅威アクター Void Blizzard (Laundry Bear)として知られ、 CERT-UA によってUAC-0190として追跡されています。

ウクライナに対するPLUGGYAPEマルウェアを利用するUAC-0190攻撃を検出

ウクライナがロシアの全面的な侵攻から5年目を迎えるにあたり、ウクライナとその同盟国を標的とする攻撃的なサイバーキャンペーンの量と強度は例外的に高いままです。セキュリティ研究者の推定によれば、2023年上半期にはおよそ40のロシアに関連するAPTグループがウクライナを標的とし、その数と浸透の巧妙さは着実に増加しています。この最新のケースでは、UAC-0190に帰属される悪意のあるキャンペーンがウクライナ軍を標的とし、PLUGGYAPEバックドアの展開に依存しました。

SOC Primeプラットフォームに登録 して、UAC-0190およびPLUGGYAPEに関連する悪意のある活動を把握し続けてください。SOC Primeチームは最近、防衛および政府部門を対象とした継続的なグループキャンペーンに対処するためにキュレーションされた検出ルールのセットをリリースしました。 CERT-UA#19092警報でカバーされています。「 ディテクションを探る 」ボタンをクリックして、AIネイティブCTIを使用して強化された関連ディテクションにアクセスし、 MITRE ATT&CK®フレームワークにマッピングされ、数十のSIEM、EDR、データレイク技術と互換性があります。

ディテクションを探る

セキュリティエンジニアは、「CERT-UA#19092」タグを使用して、関連するCERT-UA警報識別子に基づいて検出スタックを直接検索し、コンテンツの変更を追跡することができます。また、UAC-0190の敵対活動に関連する攻撃を検出するためのさらなるルールについては、セキュリティチームは「UAC-0190」、「Void Blizzard」、または「Laundry Bear」タグを検索し、最新のキャンペーンで脅威アクターに使用される攻撃ツールに対応する「Pluggyape.v2」タグを検索できます。

さらに、ユーザーは関連する Active Threats項目 を参照して、AIの要約、関連する検出ルール、シミュレーション、および攻撃フローに一箇所でアクセスすることができます。

セキュリティチームはまた、 Uncoder AI を利用して、生の脅威レポートから検出を作成し、コードを文書化および最適化し、攻撃フローを生成することができます。最新のCERT-UA警報からの脅威インテルを活用することにより、チームはIOCを選択したSIEMまたはEDR環境でのハントに対応したカスタムクエリに自動変換できます。

CERT-UA#19092警報でカバーされたUAC-0190悪意のある活動の分析

2025年10月から12月にかけて、ウクライナ軍のサイバーインシデント対応チームと連携し、CERT-UAはウクライナ軍メンバーに対する一連のターゲット型サイバー攻撃を調査しました。この活動は、合法の慈善団体を装って行われ、PLUGGYAPEバックドアの配備に依存していました。

感染チェーンを開始するために、攻撃者はSignalやWhatsAppなどの人気メッセージアプリケーションを通じて被害者に接触し、有名な慈善団体を装ったウェブサイトに訪問するように促しました。彼らは「文書」と称されるものをダウンロードするように促されましたが、実際にはこれらはパスワード保護されたアーカイブ内で配布されることが多い悪意のある実行ファイルでした。場合によっては、実行ファイルがメッセンジャーを通じて直接配信され、一般的に「.docx.pif」という誤誘導の拡張子を使用しました。PIFファイルはPyInstallerでパッケージ化された実行ファイルであり、埋め込まれたペイロードはPythonで記述され、PLUGGYAPEバックドアとして識別されました。

特筆すべきは、2025年10月に観察されたキャンペーンの以前のバージョンでは、「.pdf.exe」拡張子を持つ実行ファイルを利用していました。これらのファイルは、Pythonインタープリタと公的プラットフォームからのPLUGGYAPE初期バージョンをダウンロードする役割を果たすローダーとして機能しました。

2025年12月以降、CERT-UAは、MQTTプロトコルを使用したコマンドアンドコントロール通信のサポートを追加し、検出回避とサンドボックス実行を狙った複数の解析回避および仮想化回避チェックを実装した、PLUGGYAPE.V2として指定されたマルウェアの大幅に強化され、難読化されたバージョンを特定しました。

CERT-UAは、サイバー脅威の風景の継続的な進化を強調し、最初のアクセスが信頼できる通信チャネル、合法なユーザーアカウント、ウクライナの携帯電話番号、ウクライナ語のテキスト、音声、ビデオ通信の使用にますます依存していることに注目しています。多くの場合、攻撃者はターゲットとする個人や組織に関する詳細な知識を示しています。その結果、モバイルデバイスやワークステーションで広く使用されているメッセージングプラットフォームが主要なマルウェア配信ベクターとなっています。

悪用試行のリスクを最小限に抑えるためには、 SOC PrimeのAIネイティブ検出インテリジェンスプラットフォームを利用し、最先端の技術と一流のサイバーセキュリティ専門知識を装備して、出現する脅威に先んじて対応しながら運用効果を維持します。

MITRE ATT&CKコンテキスト

MITRE ATT&CKを活用することで、ウクライナに対する最新のUAC-0190悪意のあるキャンペーンについての詳細な洞察が得られます。以下の表には、関連するすべてのSigmaルールが関連するATT&CKの戦術、技術、およびサブテクニックにマッピングされて表示されています。

Tactics 

Techniques

Sigma Rule

Initial Access

Phishing: Spearphishing Attachment (T1566.001)

Execution

Command and Scripting Interpreter: Python (T1059.006)

User Execution: Malicious Link (T1204.001)

Persistence

Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001)

Discovery

System Information Discovery (T1082)

Command and Control

Application Layer Protocol: Web Protocols (T1071.001)

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

CVE-2025-20393 悪用:中国支援のAPT UAT-9686による攻撃で悪用されたCisco AsyncOSソフトウェアの最大重大度ゼロデイ脆弱性 9 分で読めます 最新の脅威 CVE-2025-20393 悪用:中国支援のAPT UAT-9686による攻撃で悪用されたCisco AsyncOSソフトウェアの最大重大度ゼロデイ脆弱性 by Veronika Telychko Lazarus Group攻撃の検知:ハッカーがPondRAT、ThemeForestRAT、RemotePEマルウェアでツールキットを拡張 8 分で読めます 最新の脅威 Lazarus Group攻撃の検知:ハッカーがPondRAT、ThemeForestRAT、RemotePEマルウェアでツールキットを拡張 by Daryna Olyniychuk UNC6384攻撃検知:中国関連グループが外交官を標的にし、Webトラフィックを乗っ取りPlugX亜種を拡散 7 分で読めます 最新の脅威 UNC6384攻撃検知:中国関連グループが外交官を標的にし、Webトラフィックを乗っ取りPlugX亜種を拡散 by Veronika Telychko
すべてのニュース