ロシア関与が疑われるハッカー、ウクライナを標的にCANFAILマルウェアを展開
Original Title: Suspected Russian hackers deploy CANFAIL malware against Ukraine
Published (UTC): 2026-02-14T02:05:33+00:00
要旨(日本語)
– Google Threat Intelligence Group(GTIG)が、新たな未公開の脅威アクターを特定。ロシア情報機関との関与が疑われ、ウクライナの防衛・軍・政府・エネルギー機関(地域・国家レベル)をCANFAILで攻撃
– 配信手口はフィッシング中心で、Google Drive上のRARを用い、.pdf.jsといった二重拡張子で偽装
– CANFAILは難読化JavaScriptで、PowerShellを起動しメモリ常駐型の第2段階ペイロードを取得・実行し、被害者には偽のエラーポップアップを表示
– 攻撃者はLLMを活用して偵察、ソーシャルエンジニアリング用の誘導文作成、侵害後の作業やC2構築の技術的疑問の解消を行い、フィッシング文面もLLMで作成
– 関心領域は航空宇宙、ドローン関連製造、原子力研究、人道支援団体などに及び、ルーマニアやモルドバの組織も偵察
– SentinelLABSとDigital Security Lab of Ukraineが、2025年10月の「PhantomCaptcha」キャンペーンで関連活動を記録(短期間ClickFix手口を使用)
– APT44(Sandworm/FROZENBARENTS、GRU Unit 74455)はSignalやTelegramからのデータ窃取を狙い、WAVESIGNやINFAMOUSCHISELでWindows/Android端末を侵害
– TEMP.Verminは航空宇宙・ドローン関連ドメインを悪用し、VERMONSTERやSPECTRUMを展開
– UNC5125は前線のドローン部隊を標的にGoogle Forms誘導とMESSYFORK、GREYBATTLEを使用
– UNC5792とUNC4221はSignal/WhatsAppの偽グループ招待やフィッシングでアカウント乗っ取りを狙い、STALECOOKIEやTINYWHALEを投下
– UNC5976は悪性RDPとドローン関連の偽装資料で防衛企業を装い、UNC6096はWhatsApp経由でWindows/Androidマルウェア(GALLGRAB含む)を配布、UNC5114はKropyva更新に偽装してCraxsRATを拡散
– 総括として、ロシアのサイバー作戦は軍事目標支援に直結し、組織だけでなく個人も標的化。ウクライナ軍の通信に用いられる安全なメッセージングアプリのローカルDB奪取(鹵獲端末含む)も試みられている