ウクライナ政府機関を標的としたサイバー攻撃で配信されたAgentTesla情報窃取マルウェア

[post-views]
7月 20, 2022 · 6 分で読めます
ウクライナ政府機関を標的としたサイバー攻撃で配信されたAgentTesla情報窃取マルウェア

ウクライナに対する グローバルなサイバー戦争により、 ロシアのウクライナに対する全面的な侵略によって煽られ、ウクライナ政府機関に対するサイバー領域での攻撃は増加し続けています。UAC-0056グループによるフィッシングキャンペーンの1週間後、Cobalt Strike Beaconを配信し、情報を盗むマルウェアを使用してウクライナの公務員をターゲットにした別のサイバー攻撃が発生しました。   phishing campaign by the UAC-0056 group delivering Cobalt Strike Beacon, another cyber-attack targeting Ukrainian officials using information-stealing malware comes on the scene.  

2022年7月20日、 CERT-UA は、ウクライナ政府機関に対する戦争関連のトピックを悪用した進行中のサイバー攻撃を警告するアラートを発行しました。この攻撃は、AgentTeslaと呼ばれる悪名高いRATが広まっています。この感染チェーンは、南部作戦司令部(OC South)に関連するサムネイルを含む悪意のあるファイルによって引き起こされます。この悪意のある操作の結果として、攻撃を受けたコンピューターがAgentTeslaマルウェアに感染する可能性があります。 

AgentTeslaスパイウェアとは何か: ウクライナに対する最新サイバー攻撃の分析

ウクライナに対する進行中のサイバー戦争を通じて、敵対者は既に情報を盗むマルウェアストレインを適用しています。たとえば、2022年4月の悪意のあるキャンペーンでは、 IcedIDトロイの木馬を配信しました。このサイバー攻撃は、UAC-0041ハッキング集団の活動に関連するもので、同集団は以前のウクライナに対する悪意のある操作においても、 AgentTeslaスパイウェアトロイの木馬 を配信していました。

によると、 CERT-UAの調査では、ウクライナ政府機関を対象とした最新のサイバー攻撃には、AgentTeslaのサンプル配信も含まれます。この 悪名高いRAT は2014年にサイバー脅威の場に登場し、それ以来、検出を回避するために様々な高度な技術を使用するよう進化し続けています。AgentTeslaは通常、フィッシング攻撃ベクターを通じて配信され、WebブラウザやMicrosoft Outlookなどの複数のソフトウェアプログラムから資格情報を盗むことができます。 

最近の敵対者キャンペーンにおいて、AgentTeslaインフォスティーラーがPPTファイルを通じて配信され、このファイルがマクロを有効にし、ターゲットシステムをさらに感染させています。このPPTファイルには、ロシアとウクライナ戦争の話題に関連し、ウクライナ地上軍の南部地区を示唆するトピックのサムネイルJPEGが含まれています。ファイルを開き、マクロを有効にすると、ショートカットLNKファイルと実行可能ファイルの両方が作成、起動されます。EXEファイルは、ConfuserEx難読化ツールを適用し、JPEGファイルをダウンロードし、データをデコードおよび解凍し、最終的にAgentTeslaインフォスティーラーを攻撃されたシステムで実行します。

CERT-UA#4987アラートでカバーされた悪意のある活動を検出

ウクライナの国家機関に対する最新のサイバー攻撃で配信されたAgentTeslaスパイウェアトロイの木馬から組織を守るために、SOC Primeのディテクションアズコードプラットフォームでは、専用の Sigmaルール が提供されており、これらは自動的に複数のSIEM、EDR、XDR形式に変換できます。コンテンツ検索を効率化するため、すべてのSigmaルールは対応するCERT-UAアラートに基づいて CERT-UA#4987 としてタグ付けされています。この検出スタックにアクセスするには、SOC Primeのプラットフォームにサインアップまたはログインし、以下のリンクをフォローしてください。

CERT-UA#4987アラートでカバーされた悪意のある活動を検出するためのSigmaルール

組織の環境でAgentTeslaマルウェアのサンプルをタイムリーに特定するには、 検出&ハント ボタンをクリックして検出アルゴリズムの全リストにアクセスしてください。また、サイバーセキュリティの専門家は、AgentTeslaマルウェアに関連する最新の脅威コンテキストを探求するためにSOC Primeを参照できます。このコンテキストには、MITRE ATT&CK®およびCTIの参照に加えて、専用のSigmaルールのリストが含まれています。 脅威コンテキストを探る ボタンをクリックすると、包括的な脅威関連情報に即座にアクセスできます。

検出&ハント 脅威コンテキストを探る

MITRE ATT&CK®コンテキスト

CERT-UA#4987アラートでカバーされたウクライナに対する最新のサイバー攻撃のコンテキストに飛び込むには、すべての専用Sigmaルールが MITRE ATT&CKフレームワーク に沿っており、対応する戦術と技術に対応しています。

Tactics 

Techniques

Sigma Rule

Initial Access

Phishing (T1566)

Defense Evasion

Signed Binary Proxy Execution (T1218)

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 9 分で読めます 最新の脅威 Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 by Veronika Telychko AI脅威インテリジェンス 22 分で読めます SIEM & EDR AI脅威インテリジェンス by Veronika Telychko CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 11 分で読めます 最新の脅威 CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 by Veronika Telychko
すべてのニュース