Actor240524 攻撃検出：新たなAPTグループがABCloaderおよびABCsyncマルウェアを使用してイスラエルとアゼルバイジャンの外交官を標的に

ディフェンダーは、新しいAPTグループ「Actor240524」を発見しました。これは先進のツールセットを用いて検出を逃れ、持続性を得ます。2024年7月初旬、敵対者はアゼルバイジャンとイスラエルの外交官を対象にスピアフィッシングキャンペーンを実行しました。攻撃者はアゼルバイジャン語の内容が含まれる公式文書を装う悪質なWordドキュメントを利用し、目的のユーザーから機密データを盗むことを意図しました。

Actor240524の悪意のある活動を検出

増え続ける フィッシング 攻撃は、多様な業界部門の組織に対して依然として重要な障害として存在しています。攻撃目的でのAI技術の使用によりこの課題は増し、 856%の増加 をもたらし、2024年の悪質なメールの増加が問題をさらに深刻化させました。協調的サイバー防御のためのSOC Prime Platformは、セキュリティーチームに文脈を強化した選定済みの検出アルゴリズムを提供し、新たなフィッシング攻撃と戦う手助けをします。この中には、新しいAPTグループActor240524によるスピアフィッシングキャンペーンに関するコンテンツも含まれます。 

「 Explore Detections 」ボタンをクリックして、「Actor240524」タグでフィルタリングされた関連検出にアクセスしてください。すべてのSigmaルールは、業界をリードするSIEM、EDR、およびデータレイク技術と互換性があり、 MITRE ATT&CK®フレームワークに準拠し、カスタマイズされたスレットインテルで強化されています。 

Explore Detections

セキュリティエンジニアは、APT攻撃に関連する悪意のある活動を検出するためのSOCコンテンツの全コレクションも、このリンクをクリックすることで取得できます ここをクリック。 

Actor240524攻撃分析

NSFOCUS セキュリティラボの研究者は 、イスラエルとアゼルバイジャンの外交官に対する新しいスピアフィッシング攻撃キャンペーンを最近特定しました。これは公式文書に偽装したWordファイルを武器としており、有害なマクロコードを埋め込んでいます。攻撃者のTTPsの分析により、既知のAPTグループとリンクされていないことが判明し、ディフェンダーが新しい敵対活動であるActor240524を追跡することが可能になりました。  recently identified a novel spear-phishing campaign against Israeli and Azerbaijani diplomats, weaponizing Word files disguised as official documents and embedded with harmful macro code. The analysis of attacker TTPs has uncovered no link to any known APT groups, enabling defenders to track the novel adversary activity as Actor240524. 

この攻撃キャンペーンは、双方の国の外交官をフィッシング攻撃ベクトルを通じて対象にし、協力関係に焦点を当てていると見られます。Actor240524の作戦は、新開発のトロイの木馬プログラムであるABCloaderとABCsyncを使用して機密データを盗み、検出を逃れるものでした。

感染チェーンは、曖昧な画像を含む武装されたフィッシングWordドキュメントから始まります。クリックするとマクロコードがトリガーされ、埋め込まれたVBAプログラムが悪質なペイロードを特定のパスにデコードして保存し、ABCloaderを実行します。ABCloaderが実行されると、3つの実行可能ファイルを復号して解放し、DLLであるABCsyncマルウェアをロードします。後者はC2サーバーに接続して対応するタスクを実行し、感染をさらに拡散させます。

ABCsyncマルウェアは主要な攻撃ペイロードとして機能し、リモートシェルの実行、ユーザーデータの変更、侵害されたシステムからのユーザーファイルの盗難を含む主要な機能を持っています。両方のトロイの木馬は、文字列やAPIコールのような重要な要素の暗号化を含む、持続的な検出回避技術を使用します。さらに、BeingDebuggedフィールドやNtGlobalFlagのようなデバッグの兆候を見張り、NtQueryInformationProcessを使用してデバッグ状態を検出し、効果的にマルウェア分析の努力を打ち消します。

Actor240524は、持続性を維持するために自己復号化する synchronize.exeなどのオフェンシブツール一式を用いて多段階攻撃を行います。また、 vcruntime190.dll and 、 、 synchronize.exeなどの正当なシステムコンポーネントをハイジャックして実行し、ローダーの持続的な存在を保証します。

Actor240524のような高度なハッキンググループの出現は、持続性を維持しリモートコントロールを可能にする多様なオフェンシブツールを実験していることを強調し、防御能力を強化する必要性を示唆しています。SOC Primeの Attack Detective に頼ることで、組織のSIEMの状況を強化し、ビジネスに最も挑戦的な敵対者による攻撃を積極的に阻止し、高忠実度アラートのための優先検出スタックを取得し、脅威ハンティングのルーチンを自動化することができます。