SOC Prime Bias: 重大

08 1月 2026 19:22
newspaper icon cert.gov.ua

APT28グループによるマルウェア「CredoMap_v2」を使用したサイバー攻撃 (CERT-UA#4622)

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
APT28グループによるマルウェア「CredoMap_v2」を使用したサイバー攻撃 (CERT-UA#4622)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

APT28 は、UkrScanner.rar という名前のパスワード保護された RAR アーカイブを配信するフィッシング作戦を実行しました。アーカイブ内には、CredoMap_v2 をインストールする自己解凍型 (SFX) 実行ファイルが含まれていました。このマルウェアは資格情報を盗み、攻撃者が制御する Pipedream プラットフォーム上にホストされたインフラストラクチャに HTTP POST 経由で流出させます。このインシデントは CERT-UA(ウクライナの国家 CERT)によって公表されました。

調査

CERT-UA は、自らの組織を装った不審なメッセージとパスワード保護された RAR 添付ファイルを受け取りました。SFX ペイロードの検査により、CredoMap_v2 バイナリとその HTTP ベースの資格情報流出ルーチンが明らかになりました。分析者は、eo2mxtqmeqzafqi.m.pipedream.net および 69.16.243.33 へのアウトバウンド トラフィックを追跡しました。ツールとインフラストラクチャに基づいて、この活動は既知の脅威グループ APT28 に関連付けられました。

緩和策

CERT-UA は悪意のある Pipedream ドメインおよび関連する IP アドレスをブロックしました。ユーザーには、パスワード保護されたアーカイブを高リスクとして扱い、信頼できるチャネルを通じて送信者の身元を確認するようにアドバイスしました。不明な実行可能ファイルの実行を OS コントロールおよびエンドポイント セキュリティ ポリシーを使用して防止します。

対応

フィッシングを見分ける方法をユーザーにトレーニングし、特に添付ファイルがパスワード保護されている場合には送信者を確認するように促します。疑わしいアーカイブと実行ファイルに対するメールフィルターを強化し、既知の敵対的インフラストラクチャをブロックします。不審なドメインへの予期しない POST リクエストについて、アウトバウンド HTTP トラフィックを監視し、マッチが見つかった場合には迅速に調査します。

graph TB %% クラス定義 classDef action fill:#99ccff classDef file fill:#ffcc99 classDef malware fill:#ff9999 classDef service fill:#ccccff classDef data fill:#ccffcc %% ノード email_phishing[“<b>アクション</b> – <b>T1566.001 フィッシング</b><br /><b>名称</b>: スピアフィッシング添付ファイル<br /><b>詳細</b>: パスワード保護された RAR を含む CERT-UA なりすましメール”] class email_phishing action archive_rar[“<b>ファイル</b> – <b>名称</b>: UkrScanner.rar<br /><b>種類</b>: パスワード保護された RAR アーカイブ<br /><b>技術</b>: T1027.015 圧縮”] class archive_rar file sfx_payload[“<b>マルウェア</b> – <b>名称</b>: CredoMap_v2 (SFX)<br /><b>技術</b>: T1027.009 埋め込みペイロード”] class sfx_payload malware execution[“<b>アクション</b> – <b>T1204.002 ユーザー実行</b><br /><b>詳細</b>: ユーザーが RAR を開き、SFX を展開して実行”] class execution action credential_capture[“<b>アクション</b> – <b>T1056.003 入力キャプチャ</b><br /><b>方法</b>: Web ポータルでの認証情報窃取”] class credential_capture action web_service[“<b>サービス</b> – <b>エンドポイント</b>: eo2mxtqmeqzafqi.m.pipedream.net<br /><b>技術</b>: T1567 Web サービス経由の情報流出”] class web_service service exfiltrated_data[“<b>データ</b> – <b>種類</b>: 窃取された認証情報<br /><b>想定用途</b>: T1078 有効なアカウント”] class exfiltrated_data data privileged_use[“<b>アクション</b> – <b>T1078 有効なアカウント</b><br /><b>影響</b>: 窃取した認証情報を使用した特権アクセス”] class privileged_use action %% 接続 email_phishing –>|配布| archive_rar archive_rar –>|含む| sfx_payload sfx_payload –>|実行| execution execution –>|認証情報を取得| credential_capture credential_capture –>|送信| web_service web_service –>|受信| exfiltrated_data exfiltrated_data –>|可能にする| privileged_use

攻撃フロー

検出

関連ファイルの検出による不審な APT28 初期アクセス (file_event 経由)

Sohan G
2024年5月24日

ビュー

不審な SQLite.Interop ライブラリの使用 (image_load 経由)

SOC Prime チーム
2026年1月7日

ビュー

検出するための IOCs (HashSha256): APT28 グループによるマルウェア CredoMap_v2 を用いたサイバー攻撃 (CERT-UA#4622)

SOC Prime AI ルール
2026年1月7日

ビュー

検出するための IOCs (HashMd5): APT28 グループによるマルウェア CredoMap_v2 を用いたサイバー攻撃 (CERT-UA#4622)

SOC Prime AI ルール
2026年1月7日

ビュー

検出するための IOCs (HashSha1): APT28 グループによるマルウェア CredoMap_v2 を用いたサイバー攻撃 (CERT-UA#4622)

SOC Prime AI ルール
2026年1月7日

ビュー

検出するための IOCs (SourceIP): APT28 グループによるマルウェア CredoMap_v2 を用いたサイバー攻撃 (CERT-UA#4622)

SOC Prime AI ルール
2026年1月7日

ビュー

検出するための IOCs (Emails): APT28 グループによるマルウェア CredoMap_v2 を用いたサイバー攻撃 (CERT-UA#4622)

SOC Prime AI ルール
2026年1月7日

ビュー

検出するための IOCs (DestinationIP): APT28 グループによるマルウェア CredoMap_v2 を用いたサイバー攻撃 (CERT-UA#4622)

SOC Prime AI ルール
2026年1月7日

ビュー

Pipedream プラットフォームへの不審な HTTP POST リクエスト [Windows ネットワーク接続]

SOC Prime AI ルール
2026年1月7日

ビュー

SFX ファイルからの CredoMap_v2 マルウェアの実行 [Windows プロセス作成]

SOC Prime AI ルール
2026年1月7日

ビュー

シミュレーション実行

前提条件: テレメトリー & ベースライン プレフライト チェックが合格している必要があります。

理論: このセクションでは、検出ルールをトリガーするために設計された相手技術(TTP)の正確な実行を詳述します。コマンドと記述は、識別された TTP に直接反映し、検出ロジックが予想する正確なテレメトリーを生成することを目的としています。抽象的または無関係な例は誤診につながります。

  • 攻撃のストーリーとコマンド:
    APT28 のオペレーターは、パスワード保護された RAR アーカイブを含むフィッシングメールを受け取ります。内には、自己解凍型 (SFX) 実行ファイルである UkrScanner.exeが含まれています。被害者マシンでアーカイブを抽出した後、オペレーターは SFX スタブを実行し、CredoMap_v2 マルウェアをドロップして実行します。 UkrScanner.exe が検出ルールに一致するプロセス作成イベントを生成します。

    シミュレーション手順(テストホストで実行):

    1. ダミーの実行可能ファイルを作成します UkrScanner.exe (安全のため powershell.exe のコピー)。
    2. 攻撃者が SFX ファイルを実行することを模倣するために、ダミーの実行可能ファイルを起動します。

  • 回帰テストスクリプト:

    # ==============================
# SFX (UkrScanner.exe) からの CredoMap_v2 実行のシミュレーション
# ==============================
$tempPath = "$env:TEMPUkrScanner.exe"

# 1. 無害なスタンドインペイロードの準備 (powershell.exe のコピー)
Copy-Item -Path "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" -Destination $tempPath -Force

# 2. ファイルが実行可能であることを確認
Unblock-File -Path $tempPath

# 3. ダミーの SFX スタブを実行 (ファイルの実行を攻撃者がシミュレート)
Write-Host "ダミー SFX 実行ファイルを起動しています..."
Start-Process -FilePath $tempPath -ArgumentList "-NoProfile -WindowStyle Hidden" -PassThru

# 4. SIEM の取り込みを待ちます
Start-Sleep -Seconds 5
Write-Host "シミュレーション完了。SIEM で 'UkrScanner.exe' で終わるプロセス作成の検出を確認してください。"

  • クリーンアップ コマンド:

    # ダミー実行ファイルによって開始されたパワーシェル プロセスが残っている場合は停止します (ある場合)
Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*UkrScanner.exe"} | Stop-Process -Force

# ダミー実行ファイルを削除します
$tempPath = "$env:TEMPUkrScanner.exe"
if (Test-Path $tempPath) {
    Remove-Item -Path $tempPath -Force
    Write-Host "クリーンアップ完了: $tempPath を削除しました"
}

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加