UAC-0255攻撃の検知：脅威アクターがCERT-UAを装い、AGEWHEEZE RATでウクライナの公共・民間セクター組織に感染させる

フィッシングは依然としてサイバー犯罪者の武器庫の中でも最も効果的な手口の一つであり、特に脅威アクターが信頼できる機関や馴染みのあるデジタルサービスの信用を悪用して被害者の反応を高める場合に顕著です。2026年3月下旬、CERT-UAはUAC-0255として追跡しているフィッシング・キャンペーンを公表し、攻撃者が同機関になりすまして、ウクライナの公的・民間部門全体の組織にAGEWHEEZE RATを感染させようとしたことを明らかにしました。

CERT-UA#21075で取り上げられたUAC-0255攻撃を検知

Europol は、フィッシングがデータ窃取型マルウェアの主要な配布ベクターであり続けていると指摘しており、メールおよびURL主導のソーシャルエンジニアリングがマルウェア配布の中心であり続けていることを示しています。同様の傾向は、CERT-UAが2026年を通じてウクライナに対して記録してきたフィッシング活動にも見られます。

今年初め、CERT-UAは、PLUGGYAPEバックドアを用いてウクライナ軍を標的としたUAC-0190キャンペーンを報告し、その後、中央執行機関および地方行政になりすましたメールが被害者を誘導してSHADOWSNIFFおよびSALATSTEALERのペイロードを実行させたUAC-0252の活動を公表しました。最新のUAC-0255攻撃はCERT-UA#21075アラートで取り上げられており、脅威アクターがCERT-UA自身の身元を悪用して誘い文句の信ぴょう性を高め、公的部門・民間部門の双方の組織へと標的を拡大している点で、同じ大きな傾向に合致しています。

SOC Prime Platformに登録して、UAC-0255および類似の攻撃を可能な限り早期段階でプロアクティブに検知しましょう。下の検出を探るを押すだけで、関連する検知ルールスタックにアクセスできます。これはAIネイティブなCTIで強化され、MITRE ATT&CK® フレームワークにマッピングされており、複数のSIEM、EDR、Data Lake技術と互換性があります。

検出を探る

セキュリティ専門家は、関連するCERT-UAアラート識別子に基づく「CERT-UA#21075」タグを使用して検知スタックを直接検索し、コンテンツの変更を追跡することもできます。攻撃者関連の攻撃を検知するためのより多くのルールを探す場合、サイバー防御担当者はThreat Detection Marketplaceライブラリを「UAC-0255」タグで検索できます。

サイバーセキュリティの専門家は、Uncoder AIを活用して、脅威インテリジェンスをリアルタイムで分析し、Attack Flows、Sigmaルール、シミュレーションと検証を生成し、56言語で検知を設計し、カスタムのエージェント型ワークフローを作成することもできます。詳細はhttps://socprime.ai/をご覧ください。

CERT-UAになりすましてAGEWHEEZEを展開するUAC-0255攻撃の分析

2026年3月26～27日、CERT-UAは、攻撃者が同機関になりすまし、受信者に対してFiles.fmサービスからパスワード保護されたアーカイブをダウンロードするよう促すフィッシング・キャンペーンを特定しました。対象には「CERT_UA_protection_tool.zip」および「protection_tool.zip」が含まれていました。アーカイブには、標的組織がインストールすべき専用ソフトウェアとして提示された悪意のあるコンテンツが含まれていました。

悪意のあるメールはウクライナ全土に広く配布され、政府機関、医療センター、警備会社、教育機関、金融機関、ソフトウェア開発企業、その他の組織を標的としており、公的・民間部門の双方にまたがる同キャンペーンの到達範囲の広さが浮き彫りになっています。

CERT-UA#21075アラートでは、公式のcert.gov.uaサイトの素材を再利用し、偽の保護ツールをダウンロードする手順を掲載していた不正サイトcert-ua[.]techの発見についても詳細に述べられています。これは、ウクライナのComputer Emergency Response Teamに対する信頼を悪用することで誘い文句の正当性を補強し、ユーザーの操作につながる可能性を高めるのに攻撃者が役立てたものです。

インストール用に提示されていた実行ファイルは、CERT-UAがAGEWHEEZEとして追跡する多機能なリモートアクセス型マルウェアであることが判明しました。AGEWHEEZEはGoベースのRATで、幅広いリモート管理機能をサポートします。コマンド実行やファイル管理といった標準的な機能に加え、画面内容のストリーミング、マウスおよびキーボード入力のエミュレーション、クリップボード操作、プロセスとサービスの管理、侵害ホスト上でのURLオープンが可能です。

マルウェアのC2（コマンド＆コントロール）インフラは、フランスのプロバイダーOVH（AS16276）のネットワーク上でホストされていました。ポート8443/tcpでは、研究者は認証フォームを含む「The Cult」と題されたWebページを観測し、HTMLソースにはサービスへのアクセスがブロックされている旨を示すロシア語の文字列が含まれていました。CERT-UAはまた、関連する自己署名SSL証明書が2026年3月18日に作成され、Organizationフィールドに「TVisor」という値が含まれていたことも確認しました。

AI生成のcert-ua[.]tech サイトを精査したところ、CERT-UAはCyberSerpのTelegramチャネルへの埋め込み参照を発見しました。これには「With Love, CYBER SERP.」というフレーズが含まれていました。2026年3月28日、同Telegramチャネルは攻撃の実行を公に主張し、技術的な帰属に関する不確実性の解消に寄与しました。これらの所見に基づき、CERT-UAは当該活動にUAC-0255という識別子を付与しました。

標的の範囲は広いものの、CERT-UAは本攻撃を不成功と評価しました。調査では、教育機関の職員に属する個人端末が数台感染していることが確認されたのみで、対応チームは必要な実務的および方法論的支援を提供しました。

MITRE ATT&CKの文脈

MITRE ATT&CKを活用することで、CERT-UAになりすます最新のUAC-0255フィッシング・キャンペーンについて深い洞察を得られます。以下の表は、関連するATT&CKの戦術、技術、サブ技術にマッピングされたすべての関連Sigmaルールを示しています。