Packet Pilot X (Twitter)
2026-03-10

APT28がウクライナ軍を監視するためにBEARDSHELLとCOVENANTマルウェアを使用

APT28と呼ばれるロシアの国家支援ハッキンググループが、ウクライナ軍の監視を目的としてBEARDSHELLとCOVENANTという2つのマルウェアを使用していることが報告されました。これらのマルウェアは2024年4月から使用されており、APT28はGRU(ロシア連邦軍情報局)に関連する国家行為者です。BEARDSHELLはPowerShellコマンドを実行する能力を持ち、COVENANTは長期的なスパイ活動を支援するために大幅に改良されたオープンソースのフレームワークです。これにより、APT28はウクライナに対するサイバー攻撃を強化しています。

メトリクス

このニュースのスケール度合い

7.0 /10

インパクト

9.0 /10

予想外またはユニーク度

7.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.5 /10

このニュースで行動が起きる/起こすべき度合い

7.5 /10

主なポイント

  • APT28はBEARDSHELLとCOVENANTを使用してウクライナ軍を監視しています。
  • これらのマルウェアは長期的なスパイ活動を目的としており、特にウクライナに対する攻撃が強化されています。

社会的影響

  • ! ウクライナの軍事機密が漏洩することで、国家安全保障に深刻な影響を及ぼす可能性があります。
  • ! サイバー攻撃の増加は、国際的な緊張を高め、他国の防衛戦略にも影響を与えるでしょう。

編集長の意見

APT28の活動は、国家間のサイバー戦争の一環として非常に重要です。特に、ウクライナに対するサイバー攻撃は、地政学的な緊張をさらに高める要因となります。BEARDSHELLやCOVENANTのような高度なマルウェアは、APT28が持つ技術的な優位性を示しており、これに対抗するためには、各国のサイバー防衛能力を強化する必要があります。また、これらのマルウェアは、特定のクラウドストレージサービスを利用してコマンド・アンド・コントロールを行っているため、クラウドサービスのセキュリティ対策も重要です。今後、APT28のような国家支援のサイバー攻撃者に対抗するためには、国際的な協力が不可欠です。各国は情報共有を強化し、サイバー攻撃に対する迅速な対応策を講じる必要があります。さらに、企業や組織は、内部のセキュリティ対策を見直し、最新の脅威に対する防御を強化することが求められます。これにより、APT28のような脅威に対しても、より効果的に対処できるようになるでしょう。

解説

APT28がBEARDSHELL/COVENANTで仕掛ける「長期潜伏」—PowerShellとOSS C2で前線の目と耳を奪う設計です

今日の深掘りポイント

  • カスタムの軽量バックドア(BEARDSHELL)と改造OSSフレームワーク(COVENANT)の併用は、検知回避と持続性を両立させる“コスパ重視”の国家級オペレーション設計です。
  • PowerShell実行能力×クラウドC2の組み合わせは、組織の標準的な出口通信と判別が難しく、従来のブロックリスト運用では埋もれやすいです。
  • キーロギングやスクリーンショット取得(SLIMAGENT)まで揃える収集基盤は、作戦計画・位置情報・通信様式の“行動パターン”まで抜かれる前提での備えが必要です。
  • ゼロトラストや端末ハード化は「中長期の潜伏」を前提にチューニングが要件化し、クラウド経由のC2・流出検知にSSE/CASB連携を含む“出口最適化”が急務です。
  • 現場的には新奇性よりも実行確度と信頼性が高い案件で、短期のハントと中期の構造対策に即座に落とせる可用性が高いです。

はじめに

ロシアの国家支援グループAPT28(通称Fancy Bear, GRU系)が、ウクライナ軍関係者の監視にBEARDSHELLとCOVENANTを用いていると報じられています。活動は2024年4月から継続し、PowerShellを駆使した実行と、改造されたオープンソースC2フレームワークの長期運用が確認されています。報道では、キーロギングやスクリーンショット取得が可能な別マルウェア(SLIMAGENT)も併用しているとされ、純粋な盗聴・監視目的の収集基盤が整っていることがうかがえます。

本件は、単一の新種マルウェアというより、既存の運用成熟度を感じさせる“合わせ技”の事例です。信頼性・確度が高く、短中期の対応計画に直結します。一方で技術的新規性は中程度で、既存のPowerShell対策やゼロトラスト運用の「設計の深度」が問われる案件です。日本のCISOやSOCにとっては、NATO支援網や訓練ネットワーク、そして関連ベンダの供給網への“波及シナリオ”を念頭に、国内組織の対処方針に落とし込むことが肝要です。

参考: ESETの調査結果をまとめた報道[The Hacker News]が公開されています(後掲の参考情報にリンクします)。

深掘り詳細

事実の整理(報道・提供情報に基づく)

  • 行為者と目的
    • 行為者はAPT28(GRU関連)で、対象はウクライナ軍関係者の監視です。
  • ツールチェーン
    • BEARDSHELLはPowerShellコマンド実行能力を持つバックドアです。
    • COVENANTは長期的なスパイ活動向けに大幅に改良されたオープンソースのポストエクスプロイト・フレームワークです。
    • SLIMAGENT(別マルウェア)により、キーロギングやスクリーンショット取得も可能とされています。
  • 時系列と運用
    • 2024年4月から使用されている長期運用の枠組みです。
  • C2とOPSEC
    • 特定のクラウドストレージサービスをC2やデータ搬送に活用しているとされます(サービス名は非開示)。
  • 影響
    • 長期監視による作戦計画・位置・通信パターンの漏えいが想定され、国家安全保障リスクが高まります。

出典: ESETの分析を報じる[The Hacker News]記事(参考情報)です。

編集部のインサイト(仮説と示唆)

  • 小型バックドア+改造OSS C2の“分業設計”は、開発コスト(自作C2の維持)とリスク(既知シグネチャ)の最小化を狙う合理的戦術です。BEARDSHELLは侵入後の柔軟なPowerShell実行に徹し、重い機能はCOVENANT側に寄せる設計だと読み取れます。これにより、端末に残す痕跡の複雑性を抑えつつ、C2側で機能拡張・オペ運用を回せます。
  • クラウド経由C2は、企業の“正当なSaaS利用”と混ざりやすく、従来のFQDN/ASN単純ブロックでは業務影響と表裏一体です。SSE/CASBによる“組織テナントの可視化・強制”と、非管理テナントや匿名ストレージへの厳格な制御が、実践的な対抗策になります。
  • 収集対象が入力(キー)・画面・オペパターンに及ぶ点から、単発の文書や位置情報だけでなく、作戦意思決定の“リズム”まで読み解く意図が見えます。これは単なる窃取ではなく、継続的状況把握(Situational Awareness)のための観測基盤です。
  • 新規性よりも「成熟した継続運用」が主眼のため、検知・阻止も“シグネチャ一点突破”ではなく、ふるまい・同定・出口制御・アイデンティティの総合戦が効きます。特にPowerShellは“使わせない設計”より“使わせるが制御・監査する設計”が現実解です。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説シナリオです。いずれも公開情報からの合理的推定であり、実事案での完全一致を意味しません。

  • シナリオ1:前線ユニットの作戦把握と火力誘導の高精度化

    • 初期侵入(仮説): Spearphishing Attachment/Link(T1566.001/.002)、ユーザー実行(T1204)
    • 実行: PowerShell(T1059.001)によるBEARDSHELL起動
    • 永続化(仮説): スケジュールタスク(T1053.005)、Run Keys(T1547)
    • C2: Web Protocol/Cloud経由のC2(T1071.001, T1102相当)
    • 収集: キーロギング(SLIMAGENT, T1056.001)、画面キャプチャ(T1113)
    • 流出: Webサービス経由の持ち出し(T1567.002)
    • 影響: 作戦タイムラインや位置の即時性の高い把握により、間接射撃や無人機運用の効率化に寄与します。

  • シナリオ2:供給網・支援ベンダへの横展開による妨害

    • 資格情報アクセス(仮説): OS Credential Dumping(T1003.001)、ブラウザ保管情報(T1555)
    • 横移動(仮説): 有効アカウントの悪用(T1078)、リモートサービス(T1021)
    • 影響: 兵站・修理・弾薬補給の可視化により、物理的妨害や遅延工作の精度が増します。NATO支援国の訓練・調達ネットワークにも波及し得ます。

  • シナリオ3:訓練・演習ネットワークを足場とした情報優位の獲得

    • 発見(仮説): ネットワーク・アカウント・権限の列挙(T1049, T1087, T1069)
    • 防御回避(仮説): 難読化/暗号化(T1027)、セキュリティツールの回避(T1562.001)
    • 影響: 平時の演習環境から、実戦での戦術・教範・意思決定プロセスの推定精度を引き上げます。

総じて、短期の被害は情報流出ですが、中長期では「オペレーションの効率差」という形で現場の生存性・抑止力に差がつきます。企業・官公庁においても、行為者の成熟度と継戦意思を前提に“長期観測への耐性”を組織設計に織り込むべきです。

セキュリティ担当者のアクション

優先度順で、短期のハントと中期の構造対策を併走させます。

  • 48時間以内(即応)

    • PowerShellの監査強化: Script Block Logging/Module Logging/Transcriptionを有効化し、中央集約します。PowerShell v2は無効化します。
    • ハント1: Office/ブラウザ/解凍ツールを親とするpowershell.exe起動(-enc, -nop, -w hiddenなどの引数)を出力し、異常端末を隔離評価します。
    • ハント2: PowerShellからの外向きHTTP(S)通信と、クラウドストレージ・コードホスティング等“非管理テナント”へのPOST/PUTを抽出します。
    • ハント3: スクリーンキャプチャ系APIやキーボードフックの新規常駐(ユーザ空間)をEDRで横断確認します。
    • 初動封じ: Constrained Language ModeとAMSI連携が効いていない端末を是正します。

  • 2週間以内(安定化)

    • アプリ実行制御: WDAC/AppLockerでPowerShellのフル言語モードを管理者・運用端末に限定し、一般端末は署名スクリプトのみに制限します。
    • 出口の最適化: SSE/CASBで“自組織テナント以外のクラウドストレージ”を原則遮断し、例外は発行・期限付与・再審査の流れにします。
    • ID強化: 管理系アカウントのMFA必須化、デバイス準拠条件付きアクセス、JIT/PAMで横展開の踏み台を減らします。
    • 監視のチューニング: “PowerShellそのもの”ではなく“PowerShellのふるまい”(外部通信・プロセスツリー・子プロセス生成)基軸にルールを再設計します。

  • 四半期内(構造対応)

    • セグメンテーション: ミッションクリティカル系(指揮・兵站・設計・生産)をネットワーク/ID/端末の三層で明確に分離し、横断権限をJIT/JEAで最小化します。
    • ログの残存性: 長期潜伏に備え、90日を下回らない“可観測期間”を確保し、端末再展開時のタイムライン再構築を訓練します。
    • クラウドC2対策の標準化: テナント許可リスト・個人アカウント禁止・匿名リンク禁止・外部共有の既定オフ等を“境界ではなくポリシー”で押さえます。
    • サプライヤ施策: 供給網の端末ハード化、PowerShell制御、ログ保全、インシデント通報SLAを調達条件に組み込みます。
    • 訓練: レッドチーム/ピープルフロー演習で、PowerShellとクラウド経由C2を想定した机上演習と実動テストを定例化します。

最後に、今回のケースは“検知困難な超新種”ではなく、“既存手法の堅実な磨き上げ”です。だからこそ、私たちの側も基本の徹底と設計の成熟度が勝負を分けます。ゼロトラストもPowerShellも、使うか止めるかではなく、どう“制御して可視化するか”に尽きます。今日のハントから着手し、四半期で構造を変える、そのリズムを組織に刻みたいところです。

参考情報

  • The Hacker News: APT28 uses BEARDSHELL and COVENANT to monitor Ukrainian military(ESETの分析結果を紹介): https://thehackernews.com/2026/03/apt28-uses-beardshell-and-covenant.html

注記: 本稿の事実関係は上記公開情報および提供データに依拠し、仮説部分はその旨を明示しています。構成・示唆は編集部の見解です。

背景情報

  • i APT28はロシアのGRUに関連する国家行為者であり、過去には多くのサイバー攻撃を行ってきました。BEARDSHELLはPowerShellコマンドを実行するバックドアであり、COVENANTは改良されたオープンソースのポストエクスプロイトフレームワークです。これらのツールは、ウクライナの軍事情報を収集するために使用されています。
  • i SLIMAGENTという別のマルウェアも使用されており、キーロギングやスクリーンショットの取得が可能です。これらのマルウェアは、過去のAPT28の攻撃手法と類似しており、特にXAgentとのコードの類似性が指摘されています。
Packet News 一覧へ戻る