2026年5月25日、WithSecure(ウィズセキュア)は、最新の脅威アクターに関する説明会を開催。同社 CISO クリスティン・ベヘラスコ氏が解説した。
現在、AIの浸透にともない攻撃者側だけでなく、防御側もAIを活用しはじめている。その状況下、同社はロシアとの関連が疑われる新たな脅威アクター(以下、便宜的に「UNNAMED-01」)を確認した。「ロシア政府ではなく、同政府に雇われている脅威アクターと見ている」とベヘラスコ氏。UNNAMED-01は、モスクワ時間(UTC+3)で活動をしており、1つのプレイブック(ペイロードとデコイを組み合わせたロジック)に基づいて複数のキャンペーンを展開している。標的をおびき寄せるための偽のWebサイトなどを起点として、マルウェアを仕掛けるためのバンドルファイルをダウンロードさせ、表面上は何も問題がないかのように振る舞いながら攻撃を展開していく。ZIPファイルやRARファイルとしてバンドル化するというプロセス以外には、生成AIが活用されているとのことだ。
[画像クリックで拡大]
UNNAMED-01による攻撃キャンペーンは、2025年8月から同時多発的に展開されている。2026年4月にも確認されるなど、ベヘラスコ氏は同様の攻撃トレンドが長期化すると見ているようだ。なお、VirusTotalなどに自ら開発したマルウェアを投稿して検証するなど、脅威アクターとして稚拙な部分も見受けられるとして、あくまでも国家を後ろ盾とした脅威アクターではないとした。
1. PhantomMail
[画像クリックで拡大]
UNNAMED-01が仕掛ける「PhantomMail」は、ウクライナ政府やエネルギー機関などになりすましたスピアフィッシングメール攻撃だ。ファイルへのリンクが記載されたメールを送付。被害者がリンクからファイルをダウンロードして開くと、公式文書に見せかけたPDFや無害なエラーポップアップがデコイ(おとり)として表示され、その裏側でPhantomRelayが起動する
2. PhantomClick
[画像クリックで拡大]
ClickFixを用いた“偽のCAPTHA”認証ページで被害者自身に攻撃を実行させるもの。ZoomのミーティングURLが記載された、ウクライナ大統領府からの公式文書に見せかけたPDFから偽のWebミーティングにアクセスした際、Cloudflareのセキュリティチェックが実行されるように見せかける。チェック完了の手順として悪意あるPowerShellコマンドがクリップボードにコピーされ、被害者自身に貼り付けて実行するよう指示。実行後、ブラウザは本物のZoomミーティングにリダイレクトされるが、その裏側でPhantomRelayが展開される。
3. PrincessClub
[画像クリックで拡大]
ウクライナの偽アダルトサイトを用いたもので、ウクライナ軍を主要なターゲットとして、テレグラム上でアダルトサイトに誘導をかける。サイトアクセス後、モデルの顔にはボカしがかかっており、それを除去するためにK-Lite CodecPackをインストールするように指示。インストール後は、ボカしが外れてライブチャットが可能になる。その裏側では、FallSpyやLegionRelay、PhantomRelayといったマルウェアにより、WebRTCを介して被害者のデバイスから音声と映像が密かに取得され、実名の公開や持続的な追跡・監視が行われるとのことだ。
4. DroneLink
[画像クリックで拡大]
ウクライナ軍を支援するための(ドローンの寄付などが行える)“偽のドローン慈善サイト”を用いた手法。特定のサブページで慈善申請書やドローン調達仕様書などのフォームをダウンロードして記入するよう促す。被害者が支援の一環だと信じてフォーム入力を完了させる裏側で、カスタムリバースシェルやスクリーンショットなどに対応した.NET RATが実行され、攻撃が展開される。
5. Nebo
[画像クリックで拡大]
ウクライナ軍を標的にしているとされる、ロシア軍のシステム名と見られる「SPO NEBO」のアプリ、または(認証情報がハードコーディングされた)ログインページを提供。ログイン後、偽のアップデートプロセスが実行されると、その裏側で同様の攻撃が展開される。
「攻撃者のワークフローのさまざまな部分にAIが用いられている。GeminiやMidJourneyに似た生成AIツールを用いて偽サイトやモデル写真の生成、ローダーや難読化ツールの構築も行われていた。ISOビルダーがTrickBotのアファリエイターと共有されており、一部被害者にXMRigマイナーを展開するなど、5つのキャンペーンすべては共通の脅威アクター(UNNAMED-01)が仕掛けたものだとみている」(ベヘラスコ氏)
[画像クリックで拡大]
国家が脅威アクターのオファリングを活用できるようになっており、AIの活用手法自体も先進的なものだという。「まさに業界全体のトレンドだ」とベヘラスコ氏は語った。
【関連記事】
・ウィズセキュア、ライセンス移行などで好業績──MDRなど、新サービスを投入へ
・ウィズセキュアが年内に日本でデータセンター開設、Salesforceユーザー向けのデータ保管機能拡張
・ランサムウェア被害業界はエンジニアリング/製造業が20.59%で1位に──ウィズセキュア調査
この記事は参考になりましたか?
- この記事の著者
-
岡本 拓也(編集部)(オカモト タクヤ)
1993年福岡県生まれ。京都外国語大学イタリア語学科卒業。ニュースサイトの編集、システム開発、ライターなどを経験し、2020年株式会社翔泳社に入社。ITリーダー向け専門メディア『EnterpriseZine』の編集・企画・運営に携わる。2023年4月、EnterpriseZine編集長就任。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
