敵対者は武器化されたPDFを使用してドイツ大使館の誘惑として偽装し、NATO加盟国の外務省への攻撃でデューク・マルウェアの変種を拡散

サイバーセキュリティ研究者は、NATO関連国の外務省を標的とする新しい悪意のあるキャンペーンを観察しました。敵対者は、ドイツ大使館を偽装した送信者に見せかけたPDFドキュメントを配布します。PDFファイルの1つには、APT29として追跡される悪名高いロシア国家支援ハッカー集団に起因するDukeマルウェアが含まれています。別名 NOBELIUM、Cozy Bear、またはThe Dukes。

DLLサイドローディングを介してDukeマルウェアバリアントを広げるためにPDFを武器化して攻撃を検出する

APT29がロシア外務情報局（SVR）の秘密のハッキング部門であり、モスクワの地政学的利益を促進しているため、NATO諸国を標的とした最新の悪意のあるキャンペーンは、おそらく ウクライナの同盟国に対する攻撃行動の一部かもしれません。. 

CERT-UA およびSSSCIPと協力して、SOC Primeはリアルな戦場でシグマルールを研究、開発、テストし、破壊的なロシアの攻撃を阻止するために毎月数百もの新しい検出コンテンツを提供しています。サイバー防御者が最新のAPT29サイバー攻撃を特定できるよう支援するために、SOC Primeプラットフォームは、合法的に命名されたMSOダイナミックライブラリをサイドロードして悪質な行為を実行しようとする試みを検出することを目的とした専用のシグマルールを提供します。

MSOダイナミックライブラリのサイドローディング試行の可能性（image_load経由）

このルールは、20のSIEM、EDR、XDR、およびデータレイク技術フォーマットと互換性があり、アドレスされる MITRE ATT&CK®、Defense Evasion戦術とHijack Execution Flow（T1574）を対応する技術として扱います。

APT29のTTPsに対応する検出アルゴリズム全体を探るには、以下の 探索検出 ボタンをクリックしてください。脅威調査を効率化するために、チームはATT&CKおよびCTIの参照を含む関連するメタデータを詳しく調べることもできます。

探索検出

HTMLスミアリングとDukeマルウェアを広げるためのPDF武器化を用いた攻撃分析

EclecticIQの研究者は、NATO諸国の外務省に対する継続的な攻撃作戦を観察しました。ここで、敵対者はドイツ大使館を偽装した誘いで悪意のあるPDFファイルを利用します。武器化されたPDFファイルの1つには、悪名高いロシア支援の国家の後援を受けたグループとして以前にリンクされていたDukeマルウェアバリアントが含まれています。知られる have observed an ongoing offensive operation against Ministries of Foreign Affairs of NATO countries, in which adversaries take advantage of malicious PDF files with invitation lures impersonating the German embassy. One of the weaponized PDF files contains the Duke malware variant earlier linked with the infamous russia-backed state-sponsored group known as APT29。このグループは一連のサイバースパイ攻撃の背後にあり、ロシアの外務情報局によってサポートされながら洗練された敵対者ツールキットを利用して攻撃作戦を実行しています。

進行中の敵対者キャンペーンでは、脅威アクターがC2としてZulipサーバーを使用し、正当なWebトラフィックと混ざり合いながら検出を回避します。敵対者の行動パターン、ルアファイル、適用されたマルウェア、ならびにその配信手段に基づいて、研究者は観察された悪意のあるキャンペーンをAPT29の活動と関連づけています。

感染チェーンは、埋め込まれたJavaScriptコードを持つ悪意のあるPDFルアファイルを実行することによって引き起こされ、これによりHTMLファイル形式でペイロードを侵入したデバイス上にドロップすることを目的としています。HTMLスミアリングを使用して、攻撃者は悪意のあるHTMLアプリケーションファイル（HTA）を含むアーカイブを届けます。後者は影響を受けたシステムにDukeマルウェアサンプルをドロップすることを意図しています。

HTAファイルを起動すると、影響を受けるシステム内の特定のディレクトリに3つの実行可能ファイルが広がります。これらのファイルの1つは、DLLサイドローディングを介して実行されるDukeマルウェアバリアントです。このマルウェアは回避手法としてWindows APIハッシングを使用し、敵対者が静的マルウェアスキャナーを回避することを可能にします。

潜在的な軽減策として、防御者は疑わしいネットワークトラフィックをブロックするために適切なネットワーク保護メカニズムを構成し、攻撃者が悪用する可能性のある特定のLOLBINの実行を防ぐためにWindowsホストに許可リストポリシーを適用し、サイバーセキュリティの意識を高め、サイバーのレジリエンスを強化するために業界の最善のセキュリティプラクティスを継続的に実施することを推奨します。

増強されたインテリジェンスと業界の集団的専門知識の力に頼って、 Uncoder AI を利用して、新たな脅威に対抗する検出アルゴリズムをシームレスに作成し、44のSIEM、EDR、XDR、Data Lakeフォーマットに即座に変換し、業界の仲間とコードを共有して積極的な脅威に基づいた防御力を強化します。