UAC-0252攻撃の検出: ウクライナでのフィッシングキャンペーンを推進するSHADOWSNIFFとSALATSTEALER

2026年1月以来、CERT-UAはSHADOWSNIFFとSALATSTEALERインフォスティーラーを中心に組み立てられたUAC-0252に起因する一連の侵入を追跡しています。このキャンペーンはよく練られた フィッシング の誘い、正当なインフラ上のペイロードの配信、偽装されたEXEファイルのユーザーによる実行に依存しています。

CERT-UA#20032でカバーされたUAC-0252攻撃を検出する

によると、 2025年第2四半期のフィッシングトレンド Check Pointの調査によると、フィッシングはサイバー犯罪者にとって核心的なツールであり、広く信頼される高使用率ブランドの偽装が増加し続けています。重要なインフラストラクチャや政府組織を対象としたより調整された洗練された作戦が背景にある中、CISAはその 2025–2026国際戦略計画 を発表し、グローバルなリスク削減を進め、集団的な回復力を向上させることを目指しています。

SOCプライムプラットフォームにサインアップして UAC-0252攻撃から組織を積極的に守る。以下を押して 検出を探る して、AIネイティブで強化された関連する検出ルールスタックにアクセスします CTI、それは MITRE ATT&CK®フレームワークにマッピングされており、広範なSIEM、EDR、およびデータレイク技術と互換性があります。

検出を探る

セキュリティ専門家は、CERT-UA#20032」タグを使用して、関連するCERT-UAアラート識別子に基づいて検出スタックを直接検索し、コンテンツの変更を追跡することもできます。敵に関連する攻撃を検出するためのより多くのルールについては、サイバーディフェンダーが「UAC-0252」タグを使用して脅威検知マーケットプレイスライブラリを検索できます。

SOCプライムユーザーはまた、 Uncoder AI を利用して、生の脅威レポートから検出を作成し、ルールコードを文書化および最適化し、数回クリックするだけでアタックフローを生成できます。最新のCERT-UAアラートからの脅威インテルを活用することで、チームはIOCをパフォーマンス最適化されたクエリに簡単に変換し、選択したSIEMまたはEDR環境でのハントを準備できます。

SHADOWSNIFFおよびSALATSTEALERを使用したUAC-0252攻撃の分析

2026年1月以来、CERT-UAはウクライナの団体を対象とした繰り返されるフィッシングキャンペーンを追跡しています。電子メールメッセージは中央政府機関や地域行政を装って作成されており、通常、受信者に民間および軍事システムに広く展開されているモバイルアプリの更新を促します。

CERT-UA#20032 アラートでは、一般的な配布経路が 2 つ示されています。1 つ目は、メールに EXE ファイルを含むアーカイブが添付されるケースです。攻撃者は受信者がアーカイブを開き、実行ファイルを起動することを前提としています。2 つ目は、クロスサイトスクリプティング（XSS）に脆弱な正規の Web サイトへのリンクがメールに含まれるケースです。被害者がそのページにアクセスすると、注入された JavaScript がブラウザ上で実行され、実行可能ファイルがコンピューターにダウンロードされます。いずれのシナリオでも、CERT-UA は EXE ファイルとスクリプトが正規の GitHub サービス上にホストされている点を指摘しており、これにより通常の Web トラフィックに紛れ込みやすくなり、多くの環境で単純なドメインブロックの効果が低下します。

2026年1月および2月に、CERT-UAはこの活動がSHADOWSNIFF、SALATSTEALER、DEAFTICKを含む複数の悪意のあるツールを使用していたことを確認しました。

SHADOWSNIFFはGitHubでホストされていると報告され、SALATSTEALERは通常、ブラウザのクレデンシャルをターゲットにし、アクティブなセッションを盗み、暗号関連データを収集するGoベースのインフォスティーラーとして説明されています。CERT-UAはまた、Goで書かれた原始的なバックドアであるDEAFTICKも同じツールセットで報告しました。これは恐らく攻撃者が侵害されたホストで基本的なアクセスを維持し、追跡行動をサポートするのに役立つと見られています。

リポジトリの分析中、CERT-UAは内部的に「AVANGARD ULTIMATE v6.0」と命名されたランサムウェア暗号化ツールの特徴を持つプログラムを発見したと報告しました。同じGitHubのエコシステムには、 WinRAR（CVE-2025-8088）のエクスプロイトを含むアーカイブもあり、Windows WinRARのパストラバーサルの問題で、細工されたアーカイブを介して任意のコード実行が可能であり、現場で悪用されていると報告されています。これは、運営者がクレデンシャルを盗むだけでなく、影響を拡大できる追加のツールの実験も行っていることを示唆しています。

調査の詳細と公開されている道具との重なりを基に、CERT-UAは、この活動を、«PalachPro»というTelegramチャンネルで話題にされている個人と関連付けています。同時に、このキャンペーンをUAC-0252として追跡し続けています。

MITRE ATT&CKコンテキスト

MITRE ATT&CKを活用することで、ウクライナの団体を対象とした最新のUAC-0252フィッシングキャンペーンへの詳細な洞察が得られます。以下の表は、関連するすべてのSigmaルールを、関係するATT&CK戦術、技術、サブ技術にマッピングして表示しています。