フォローする 
2026年1月以降、CERT-UAはSHADOWSNIFFとSALATSTEALERインフォスティーラーを中心に据えたUAC-0252に起因する一連の侵入を追跡しています。これらのキャンペーンは精巧に作られた フィッシング 誘引、正当なインフラ上でのペイロードの設置、及び偽装されたEXEファイルのユーザー駆動実行に依存しています。
CERT-UA#20032でカバーされるUAC-0252攻撃を検出
に関して フィッシング動向 2025年第2四半期 Check Pointの調査によると、フィッシングはサイバー犯罪者にとって依然として主要なツールであり、広く信頼されている高使用率のブランドを偽装する手口が増加し続けています。重要インフラや政府組織を狙ったより調整された精巧な作戦の中で、CISAはその 2025–2026国際戦略計画 を発表し、世界的なリスク軽減と集合的な回復力の向上を図っています。
SOC Primeプラットフォームにサインアップして UAC-0252攻撃から積極的に組織を守りましょう。「 検出を探す 」を下記で押して、AIネイティブで豊かになった関連する検出ルールスタックにアクセスしましょう CTI、 MITRE ATT&CK®フレームワークにマッピングされ、幅広いSIEM、EDR、データレイク技術と互換性があります。
セキュリティ専門家は、関連CERT-UAアラート識別子に基づく「CERT-UA#20032」タグを使用して、検出スタックを直接検索し、コンテンツの変更を追跡することもできます。敵の攻撃を検出するためのさらなるルールを求めているサイバー防御者は、「UAC-0252」タグを使用してThreat Detection Marketplaceライブラリを検索できます。
SOC Primeユーザーは、 Uncoder AI にも頼ることができ、脅威レポートから検出を作成し、ルールコードを文書化し最適化し、数クリックでアタックフローを生成できます。最新のCERT-UAアラートからの脅威インテルを活用することで、チームはIOCを簡単にシームやEDR環境で狩るためのパフォーマンス最適化されたクエリに変換できます。
SHADOWSNIFFとSALATSTEALERを使用したUAC-0252攻撃の分析
2026年1月以降、CERT-UAはウクライナの組織を標的としたフィッシングキャンペーンを追跡しています。メールメッセージは中央政府機関や地方政府を偽装しており、通常は広く展開された民間や軍事システムで使用されているモバイルアプリの更新を促します。
CERT-UA#20032の警告 は、2つの一般的な配信経路を説明しています。最初の経路では、メールに添付されたアーカイブにEXEファイルが含まれています。攻撃者は、受取人がそのアーカイブを開き実行することを当てにしています。次の経路では、クロスサイトスクリプティング(XSS)に脆弱な合法なウェブサイトへのリンクがメールに含まれています。被害者がそのページを訪れると、ブラウザで注入されたJavaScriptが実行され、コンピュータ上に実行ファイルがダウンロードされます。どちらのシナリオでも、CERT-UAはEXEファイルとスクリプトが正当なGitHubサービスにホストされていることを指摘しており、多くの環境での基本的なドメインブロッキングを失効させつつ、通常のウェブトラフィックに紛れる活動を助けています。
2026年1月と2月の間、CERT-UAはSHADOWSNIFF、SALATSTEALER、DEAFTICKを含むいくつかの悪意あるツールが使用されたことを確認しました。
SHADOWSNIFFはGitHubにホストされていると報告されており、SALATSTEALERはブラウザのクレデンシャルを狙い、アクティブなセッションを盗み、暗号関連データを集めるGoベースのインフォスティーラーとして一般に説明されています。同じツールセット内では、CERT-UAはIRTUALICKというGoで書かれたプリミティブなバックドアも報告しており、攻撃者が侵害されたホストでの基本アクセスを維持し、追随するアクションをサポートする可能性があります。
リポジトリアナリシス中に、CERT-UAは「AVANGARD ULTIMATE v6.0」と内部で名付けたランサムウェア暗号化プログラムの特徴を持つプログラムを発見したと報告しています。GitHubエコシステムにはCVE-2025-8088を含むWinRARの エクスプロイトパスを横断して構成されたアーカイブによって任意のコード実行を可能にするWindows WinRARの問題であり、フィールドでの悪用が報告されています。このことは、オペレーターがクレデンシャルを盗むだけでなく、影響を拡大し得る追加のツールを実験していたことを示しています。
調査の詳細と公開された手法をベースにした工具のオーバーラップを基に、CERT-UAは、本活動を「PalachPro」Telegramチャンネルで議論された個人にリンクし、UAC-0252のもとでのキャンペーンを追跡し続けています。
MITRE ATT&CKコンテキスト
MITRE ATT&CKを活用することで、ウクライナの組織を狙った最新のUAC-0252フィッシングキャンペーンに関する詳細な洞察を提供します。以下の表には、関連するSigmaルールが関連するATT&CKの戦術、技術、およびサブ技術とマッピングされています。 Tactics Techniques Sigma Rules Initial Access Phishing: Spearphishing Attachment (T1566) Execution Exploitation for Client Execution (T1203) User Execution: Malicious File (T1204.002) Persistence Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001) Defense Evasion Masquerading: Masquerade Task or Service (T1036.004) Masquerading: Match Legitimate Resource Name or Location (T1036.005) Process Injection: Process Hollowing (T1055.012) Impair Defenses: Disable or Modify Tools (T1562.001) Hide Artifacts: Hidden Files and Directories (T1564.001) Hide Artifacts: File/Path Exclusions (T1564.012) Command and Control Application Layer Protocol: Web Protocols (T1071.001)
