複数ライセンス割引見積
脅威データベース リモート管理ツール AGEWHEEZE RAT

AGEWHEEZE RAT

リモート管理ツール, 高度な持続的脅威 (APT)Mezoまで
翻訳内容:

サイバーセキュリティアナリストは、攻撃者がウクライナのコンピュータ緊急対応チームになりすまし、AGEWHEEZEと呼ばれるリモート管理ツールを配布する標的型フィッシング攻撃を発見した。UAC-0255グループによるものとされるこの攻撃は、2026年3月26日と27日に送信された欺瞞的なメールを利用し、「特殊ソフトウェア」と称するものをインストールするよう受信者に促していた。

これらのメールには、Files.fmにホストされているパスワードで保護されたZIPアーカイブへのリンクが含まれていました。CERT_UA_protection_tool.zipという名前のこのアーカイブは、正規のセキュリティユーティリティとして提示されていましたが、実際には悪意のあるペイロードを配信していました。一部のメッセージは「incidents@cert-ua.tech」という偽のアドレスから送信されており、本物であるという錯覚をさらに強めていました。

ターゲットプロファイルと攻撃範囲

この作戦は広範囲に及び、国家インフラや公共サービスにとって重要な多様な組織を標的とした。対象となった組織には以下が含まれる。

  • 政府および国家機関
  • 医療・ヘルスケア施設
  • セキュリティおよび防衛関連企業
  • 教育機関
  • 金融機関
  • ソフトウェア開発会社

広範なターゲット設定戦略にもかかわらず、キャンペーン全体の効果は限定的であるようだ。感染が確認されたのはごく少数で、主に教育機関の職員の個人用デバイスに影響が見られた。

AGEWHEEZEの内部構造:機能と永続化メカニズム

AGEWHEEZEは、広範なシステム制御と監視を目的として設計されたGo言語ベースのリモートアクセス型トロイの木馬です。一度展開されると、WebSocketプロトコルを使用して54.36.237.92のコマンド&コントロールサーバーとの通信を確立します。

このマルウェアにより、攻撃者は以下のような幅広い悪意のある活動を実行できるようになります。

  • 任意のコマンドの実行およびシステムプロセスの管理
  • ファイル操作の実行と保存データの操作
  • スクリーンショットの取得とユーザーアクティビティの監視
  • マウスとキーボードの入力をエミュレートする
  • クリップボードの内容を変更する
  • スケジュールされたタスク、Windowsレジストリの変更、またはスタートアップディレクトリへの配置によって永続性を維持する

これらの機能の組み合わせにより、AGEWHEEZEはスパイ活動、横方向の移動、および長期的なシステム侵害のための多用途ツールとなっています。

欺瞞的なインフラとAI支援による製造

不正ドメイン「cert-ua.tech」の調査により、自動化またはAI支援による開発の兆候が明らかになった。ウェブサイトのHTMLソースコードには、ロシア語で「С Любовью, КИБЕР СЕРП」(愛を込めて、サイバーSERP)という注目すべきコメントが含まれており、サイバーSERPと名乗るグループによるものと思われる。

サイバーサープは、2025年11月に開設され、700人以上の登録者を集めたテレグラムチャンネルを通じて、ウクライナのサイバーアンダーグラウンド組織との繋がりを主張している。同グループは、フィッシング攻撃の標的が最大100万件のメールアカウントであり、20万台以上のデバイスが侵害されたと公に主張しており、これらの数字は独立機関による評価を大幅に上回っている。

相反する主張とより広範な脅威活動

サイバーサープは、自らを標的を限定した攻撃者であるかのように装い、一般市民は攻撃の影響を受けないと主張している。しかし、このような主張は、大規模なフィッシング攻撃が無差別に行われるという性質とは矛盾する。

別の事件では、同グループはCipherへの侵入について犯行声明を出し、サーバーデータ、クライアントデータベース、および独自のソースコードへのアクセスを主張した。Cipherは後に、従業員の認証情報に関わる限定的な侵害があったことを認めたが、以下の点を強調した。

  • 基幹インフラは安全かつ正常に稼働していた。
  • 影響を受けたアカウントは、機密性の低い単一のプロジェクトにのみアクセスできました。

この食い違いは、脅威アクターの間でよく見られる戦術、つまり、影響力と信頼性を高めるために影響を誇張するという戦術を浮き彫りにしている。

評価とセキュリティ上の影響

今回のキャンペーンは、特に信頼できる国家サイバーセキュリティ機関を悪用した場合、なりすまし戦術が依然として有効であることを示している。直接的な影響は限定的であったものの、AGEWHEEZEの技術的な高度さと拡散を試みた規模は、脅威の状況が持続的かつ進化し続けていることを示唆している。

組織は、メールの認証プロセスを強化し、身に覚えのない添付ファイルを精査し、権威ある機関を装ったなりすまし行為を認識できるよう従業員を教育することが推奨されます。

トレンド

Robloxcashout.com

不正なウェブサイト
注意を怠ってインターネットを閲覧すると、ユーザーは様々なサイバー脅威にさらされる可能性があります。詐欺師は、悪質なプラットフォームを正規のサービスに見せかけ、好奇心や手っ取り早く報酬を得たいという欲求につけ込むことがよくあります。これは特にゲームコミュニティで顕著で、無料のゲーム内通貨の提供は誘惑に抗いがたいものです。 Robloxcashout.com:偽のRobux生成サイト ウェブサイ...

Uraganランサムウェア

ランサムウェア
サイバー脅威が複雑化し、その影響が拡大し続ける中、最新のマルウェアからデバイスを保護することは極めて重要になっています。特にランサムウェアは、貴重なデータへのアクセスをロックし、その解放と引き換えに身代金を要求することで、個人や組織に深刻なリスクをもたらします。サイバーセキュリティ研究者によって特定された高度な脅威の一つがUraganランサムウェアです。これは、被害者から金銭を脅し取り、最大...

GlassWormマルウェア

マルウェア, 高度な持続的脅威 (APT)
GlassWormマルウェアの新たな波が、盗まれたGitHubトークンを悪用して数百ものリポジトリに悪意のあるコードを注入することで、ソフトウェアサプライチェーンを積極的に標的にしている。この攻撃は主に、Djangoアプリケーション、機械学習研究コード、Streamlitダッシュボード、PyPIパッケージなど、Pythonベースのプロジェクトに焦点を当てている。 攻撃手法は一見単純ながら非常...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
35,538
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
29,623
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Eporner.com

問題
24,303
インターネットは、役立つコンテンツ、エンターテイメント、そして情報で溢れる広大な空間ですが、同時に危険な側面も存在します。番組のストリーミング再生、アプリのダウンロード、アダルトコンテンツプラットフォームの利用など、どんな場面でも常に警戒を怠らないことが重要です。多くのサイト、特に積極的な広告で運営されているサイトは、深刻なセキュリティリスクをもたらす可能性があります。懸念されているサイトの...
読み込んでいます...