コンテンツの表
- イントロダクション
- 主なターゲット
- 影響を受ける業界
- 地理的焦点
- 感染連鎖
- 初期の調査結果
- おとり文書の調査
- テクニカル分析
- ステージ1 – 悪意のある実行ファイルの分析
- ステージ2 – 第2段ペイロード投下装置
- インフラストラクチャとアトリビューション
- 結論
- Seqrite 保護性能
- 侵害の兆候(IOC)
- MITRE ATT&CKマッピング
- 著者
イントロダクション
SEQRITE Labsは新たな脅威を積極的に追跡しており、最近、ユーラシアの無人航空機分野の専門家や組織を標的としたキャンペーンを特定しました。このキャンペーンは、無人航空システム(UAS)に焦点を当てた主要な国際イベントである、2026年4月23日にモスクワで開催予定の第13回ユーラシア国際フォーラム「無人航空2026」に合わせて戦略的にタイミングが計られているようです。
このキャンペーンでは、スピアフィッシングを通じて悪意のある疑いのあるメール添付ファイルを配布し、「cai partner.zip」という名前のアーカイブを送信します。このアーカイブには、ロシア航空情報センター(ЦАИ/CAI)からの正規の注文確認書を装ったRustベースの実行ファイルが含まれています。
以下のセクションでは、このキャンペーンで使用されたフィッシングの手口を分析し、続いて悪意のある実行ファイルの技術的な分析を行います。また、ファイルがどのようにダウンロードされ、第2段階のペイロードを実行するのかについても検証します。さらに、使用されたインフラストラクチャとC2通信についてもレビューし、最後に観測された挙動をMITRE ATT&CKの戦術と技術に照らし合わせて分析します。
主なターゲット
影響を受ける業界
- 無人航空システム(UAS/UAV)分野
- 航空情報サービス
地理的焦点
- ロシア
- タジキスタン
- 中央アジア
- 中東・ヨーロッパ
感染連鎖
初期の調査結果
最近発生しているキャンペーンを調査する中で、公開サンドボックスであるVirusTotal上で、cai partner (1).zipという名前の不審なZIPファイルを発見しました。最初の調査では、このファイルはロシアから送信され、当社のハンティングルールに照らして最初の検出ではゼロ件でした。しかし、ファイル名とその内容が不審に思われたため、注意を喚起しました。
さらに調査を進めた結果、cai partner.zip という名前の別のアーカイブが見つかりました。これは、おとり文書と悪意のある実行ファイルの両方の主要なキャリアとして機能します。このアーカイブの内容を展開したところ、4 つのファイルが含まれていることがわかりました。そのうちの 1 つはバイナリ実行ファイルで、 Подтверждение заказа продукции ЦАИ.exe に変換されます 「CAI製品の注文確認.exe」
実行ファイルに加えて、アーカイブにはPDF、DOCX、XLSXファイルなど、正規のビジネス関連文書に見せかけるように設計された複数の偽装文書が含まれています。
おとり文書の調査
PDFルアー文書
最初に私たちの目を引いたのは、アーカイブから抽出されたPDFファイルです。ファイル名は「翻訳証明書.PDF」で、正規の証明書のように見えるように作成されています。
文書を詳しく調べてみると、公式の翻訳証明書であることがわかった。文書番号、日付、翻訳者名、署名、会社情報(SOMON TRANSLATIONS、タジキスタン、ドゥシャンベ)などの詳細情報に加え、真正性を高めるための印鑑や封印も含まれている。
したがって、複数の言語の使用、形式的な構成、公式に見える印鑑や署名など、文書の詳細を見ると、この誘い文句は国際ビジネスや翻訳関連の活動に携わる専門家をターゲットにしているように思われる。
DOCX形式の誘引文書
文書を分析した結果、この「CAICA製品の注文確認および無人航空機2026フォーラムでの会合の手配、支払い詳細の協議および長期契約の締結.docx」という名前のファイルは、悪意のある実行ファイルが実行された直後に被害者に表示された文書と類似していることがわかりました。
次のセクションでは、このドキュメントを詳細に分析し、実行時に実行ファイルによってどのように生成されるかを説明します。
XLSX ルアー文書
アーカイブ内で特定された3番目の文書は、summary_order_cai_final.xlsxという名前のExcelファイルです。
ファイルを分析したところ、航法データベース、NOTAMデータセット、電子AIPコレクション、ボーイング737などの航空機用オンボードシステムといった、航空関連製品の詳細なリストが含まれていることが分かりました。また、数量、ライセンスの詳細、更新頻度、使用上の注意なども記載されており、正規の注文概要のように見えます。
詳細さや業界特有の専門用語の使用から、この文書は航空業界の専門家や組織を対象として作成されていることがうかがえる。
テクニカル分析
このセクションでは、ZIP アーカイブから抽出したファイルの技術的な分析を検証します。見つかった実行ファイルは Подтверждение заказа продукции ЦАИ.exe という名前で、これは次のように翻訳されます。 CAI製品の注文確認.exe
静的解析ツールを使用してメタデータをレビューした結果、このファイルはRustプログラミング言語でコンパイルされた64ビットWindows実行ファイルであることが判明しました。次に、実行ファイルの悪意のある機能を分析しました。この分析は2つの段階に分けられています。第1段階では、実行ファイルが被害者のマシン上で実行するアクティビティに焦点を当て、第2段階では、実行ファイルがリモートサーバーから第2段階のペイロードをダウンロードしてドロップする方法、そして攻撃者が被害者のマシンに何をダウンロードしようとするかについて説明します。
ステージ1 – 悪意のある実行ファイルの分析
最初に悪意のある実行ファイルを調査したところ、上記で説明したように、被害者の注意をそらすための囮として機能する.docxファイルを実行することがわかりました。
おとり文書の執行
実行ファイル内に文書が明示的に埋め込まれていることが確認されました。実行直後、この文書がユーザーの画面に表示され、被害者の注意をそらし、無害なアプリケーションであるかのような錯覚を作り出します。
このおとり文書には、ロシア語で書かれたビジネスメッセージの内容が含まれており、「Olimov JM」という署名がされている。これは、長期的なビジネス取引に関わっている航空会社からの本物のメッセージのように見えるように設計されている。
このメッセージには、Aerolotsia PROライセンス、NOTAMデータベース、ロシアおよびCIS諸国の航空情報出版物(AIP)、ボーイング737、IL-76、ボーイング777Fなどの航空機用航空図といった航空関連製品が記載されています。タブレット端末のライセンスも含まれています。ライセンス番号や地域といった詳細な情報が記載されているため、非常にリアルな印象を与えます。
また、4月23日にモスクワで開催されるイベント「無人航空機2026」にも言及しており、攻撃者がこのイベントに参加する可能性のあるロシア語話者を特に標的にしていることを示唆している。
システムフィンガープリンティング
偽の文書を実行すると、マルウェアは直ちにシステム情報の収集を開始し、被害者固有のプロファイルを作成します。
このマルウェアは、GetComputerNameExWを使用してマシンのホスト名を取得し、GetVolumeInformationWを使用してCドライブのボリュームシリアル番号を取得します。これらの値はXOR演算で結合され、10進数の文字列に変換されることで、被害者のシステム固有のマシン識別子が生成されます。
環境およびネットワーク偵察
マルウェアは、被害者のマシンに固有のIDを作成した後、システムとネットワークに関するより詳細な情報を収集します。この手順は内部モジュールによって処理され、ユーザーとネットワークの両方の詳細情報に焦点を当てています。
まず、マルウェアは重要な環境変数を収集します。
- ユーザー – 現在ログインしているユーザー名
- USERDNSDOMAIN – ドメイン名
- コンピュータ名 – システムホスト名
- USERPROFILE – ユーザーのプロファイルパス
次に、マルウェアはネットワーク情報を収集します。GetAdaptersAddressesを使用してすべてのネットワークアダプタをスキャンし、IPv4アドレスを取得します。これらのIPアドレスは、InetNtopWを使用して読み取り可能な形式に変換されます。また、アダプタ名とDNS関連情報も収集します。
これらのデータはすべて整理され、指揮統制(C2)サーバーに送信できるように準備されます。
exfiltration
このマルウェアは、被害者のすべての情報を収集し、serde_jsonというライブラリを使用してJSON形式に変換します。JSONは、各データをキーと値のペアとして追加しながら、段階的に構築されます。
JSON データを作成した後、マルウェアは単純な XOR メソッドを使用してそれを暗号化します。この暗号化されたデータは、HTTP POST リクエストを使用して HTTPS (ポート 443) 経由でサーバー cdn[.]kleymarket[.]ru に送信されます。
ステージ2 – 第2段ペイロード投下装置
第2段階では、マルウェアがデータ収集から最終ペイロードの配信へと移行する過程について説明します。C2サーバーから暗号化された応答を受信すると、マルウェアは多段階復号アルゴリズムを用いてペイロードを復号し、ペイロードを抽出します。その後、マルウェアはペイロードを任意のディレクトリ内にランダムなファイル名で保存し、標的のマシン上で実行します。
ペイロード復号化
C2サーバーから送信された暗号化されたペイロードは、複数のステップを経て復号化されます。マルウェアはまず、サーバーからの応答から2つの値を抽出し、それをAESキーとして使用します。次に、AES-256を用いてペイロードをブロック単位で復号化します。
ペイロードの投下と実行
ペイロードの復号後、マルウェアは文字と数字を使ってランダムな6文字のファイル名を作成し、拡張子「.exe」を追加します。マルウェアはNtWriteFileを使用してペイロードをディスクに直接書き込みます。ファイルは次のいずれかの場所に保存されます。
- %USERPROFILE%\Documents\ 。EXE
- C:\Users\Public\Documents\ 。EXE
最後に、マルウェアはCreateProcessA APIを使用して復号化されたペイロードを実行します。ドロップされた実行可能ファイルへのフルパスが親アプリケーション名を指定せずにコマンドラインから直接渡され、被害者のマシン上で新しいプロセスが起動されます。
さて、次のセクションでは、キャンペーンのインフラストラクチャとアトリビューションの側面について見ていきます。
インフラストラクチャとアトリビューション
この攻撃キャンペーンで使用されたコマンド&コントロール(C2)インフラストラクチャを分析した結果、ドメインhxxp://kleymarket[.]ruが、分析のわずか9日前に登録されたばかりであることが判明しました。調査時点では、どのセキュリティベンダーもこのドメインを悪意のあるものとして警告していませんでした。
パッシブDNSデータによると、このドメインは時間の経過とともに複数のIPアドレスに解決されており、その中には以下のものが含まれます。
45[.]142[.]36[.]76, 92[.]62[.]113[.]232, and 89[.]108[.]110[.]154
2026年04月2日付の最新の決議では、45[.]142[.]36[.]76が指摘されており、これは今回の攻撃キャンペーンで使用されたアクティブなC02サーバーであると思われる。一方、2019年の古い記録によると、このドメインは今回の活動に再利用される以前に、他の目的で使用されていたことが示されている。
さらなる分析 バリディン ドメインとその関連サブドメインがIPアドレス45[.]142[.]36[.]76に解決されることが確認されました。これは、今回のキャンペーンで使用されているアクティブなC2インフラストラクチャであると思われます。このIPアドレスは、ロシアの自律システムであるAS48347(MTW-AS)の下でホストされており、おおよそロシアのモスクワに位置しています。
本稿執筆時点では、このキャンペーンを既知の脅威アクターに帰属させることはできません。しかしながら、観察された戦術、インフラ、およびソーシャルエンジニアリングの要素は、綿密に計画され、標的を絞った作戦であることを示唆しています。キャンペーンの巧妙な配信メカニズムと航空をテーマにした標的設定を考慮し、このキャンペーンを「オペレーション・サイレント・ローター」と名付けました。このキャンペーンは、モスクワで開催される「無人航空機2026」フォーラムに合わせて慎重にタイミングが調整されているようで、このイベントに参加する、あるいは関係する可能性のある航空専門家をターゲットにしていることがうかがえます。
結論
SEQRITE Labsは、ユーラシアの無人航空機業界の専門家を標的としたスピアフィッシング攻撃キャンペーンを特定しました。このキャンペーンでは、被害者の信頼を得るために、本物そっくりの航空関連文書が使用され、コンテンツはモスクワで開催される「無人航空機2026」フォーラムにリンクされています。配信されるマルウェアはRustベースの実行ファイルで、システム情報を収集し、暗号化されたHTTPS経由でリモートサーバーと通信し、実行用の第2段階ペイロードをダウンロードします。
このキャンペーンで使用されているインフラは最小限かつ短命で、新たに登録された.ruドメインに依存しています。執筆時点では、このキャンペーンを既知の脅威アクターに結びつけることはできません。しかし、ロシア語の誘い文句や状況に応じたコンテンツの使用から、このキャンペーンは地域に特化しており、同じエコシステム内の被害者を標的にしていると考えられます。
Seqrite 保護性能
トロイの木馬.Win64
侵害の兆候(IOC)
| ハッシュ(SHA-256) | File |
| 5936f42ffd7fa7896eeae725b60a5d26bbf3e584712671ef5da0138ee5d58f60 | Подтверждение заказа продукции ЦАИ.exe |
| fdef9e489f773319f55f92f712d1b7b5447d59a632b8f4173d1b161d3759ad92 | cai パートナー (1).zip |
| 57e26f6e3b311a1064c946b69159ee05abedf9228b2f95c65536429e7ac7fb24 | cai パートナー.zip |
| a7bd8869293212e1671df90d2d41b96d4933eb9408b1111bd830e111a91bb202 | 翻訳証明書.PDF |
| 2064ef387ac9e51ba72b32004d99e8a0b291dbab24ed8db30f437abf1b40cb49 | CAICA製品の注文確認書、および支払い詳細の協議と長期契約締結のため、無人航空機フォーラム2026での会合の手配に関する文書。 |
| 89f8e42c825d09a0a50e99bbf7304d7037be33ea362a57d34f87fa7981f80126 | summary_order_cai_final.xlsx |
URLは
| 45 [。] 142 [。] 36 [。] 76 |
| cdn[.]kleymarket[.]ru |
MITRE ATT&CK マッピング
| 戦略 | テクニックID | 技名 |
| 初期アクセス | T1566.001 | フィッシング:スピアフィッシングアタッチメント |
| 実行 | T1204.002 | ユーザーの実行:悪意のあるファイル |
| 実行 | T1059.003 | コマンドおよびスクリプトインタープリター:Windowsコマンドシェル |
| 実行 | T1106 | ネイティブAPI |
| 防衛回避 | T1036.004 | マスカレード:正当な名前または場所と一致する |
| 防衛回避 | T1027 | 難読化されたファイルまたは情報 |
| 防衛回避 | T1140 | ファイルまたは情報の難読化/デコード |
| プーケットの魅力 | T1082 | システム情報の発見 |
| プーケットの魅力 | T1016 | システムネットワーク構成の検出 |
| プーケットの魅力 | T1033 | システム所有者/ユーザーの発見 |
| プーケットの魅力 | T1083 | ファイルとディレクトリの検出 |
| コマンドおよび制御 | T1071.001 | アプリケーション層プロトコル:Webプロトコル |
| コマンドおよび制御 | T1090.001 | プロキシ: 内部プロキシ |
| exfiltration | T1041 | C2チャネルを介した浸透 |
| 影響 | T1105 | 入力ツール転送 |
著者
プリヤ・パテル
ラヤパティ・ラクシュミ・プラサンナ・サイ
