AgentTesla スパイウェア、ウクライナ、オーストリア、ドイツの組織を標的とするフィッシングキャンペーンで大量配布

2022年8月30日と31日に、 CERT-UA は、ウクライナ、オーストリア、そしてドイツの組織にフィッシングメールを大量に配布する敵対者の活動を公開しました。対応するCERT-UA#5252のアラートによると、ハッカーは悪名高い AgentTesla 情報窃取マルウェアを広めるため、メール添付ファイルのベクトルを悪用しています。この悪意のある活動は、UAC-0120として追跡されるハッキング集団の行動パターンに帰することができます。

AgentTeslaマルウェアの配布: UAC-0120による最新のメールキャンペーンの分析

その後、 世界がサイバー戦争に突入して ロシアがウクライナへの大規模な侵攻を開始した時、ロシアに関連したハッキング集団はサイバースパイ活動や破壊的なサイバー攻撃を展開することで悪意のある活動をエスカレートさせました。そのキャンペーンの一環として、敵対者は IcedIDトロイの木馬 やAgentTeslaスパイウェアのような情報窃取マルウェアのサンプルを活用しました。後者は侵害されたユーザーから敏感なデータを盗むために設計された広く使用されているスパイウェアトロイの木馬の一つに属しています。AgentTeslaマルウェアは、 UAC-0041ハッキンググループの悪意ある活動に起因するとされるウクライナに対する以前のサイバー攻撃で現れました。

2022年8月31日、CERT-UAはアラートを発行し、 CERT-UA#5252 を通じて、UAC-0120ハッキンググループによるAgentTeslaスパイウェアを大量に拡散する新たなサイバー攻撃の波をグローバルなサイバー防衛コミュニティに警告しました。敵対者はウクライナ、オーストリア、ドイツの組織をターゲットにしてフィッシングメールキャンペーンを継続的に展開しています。これらのメールにはフィッシングのおとりとして「Technisches Zeichnen」（「技術図面」）という名前の悪意のあるIMG添付ファイルが含まれており、被害者をその開封に誘導し感染を拡大させます。IMGのおとりにはCHMファイルが付属しており、開くと悪意のあるJavaScriptコードを実行します。後者はPowerShellスクリプト経由で node.txt ファイルをダウンロードして起動します。

その結果、PowerShellコードはDLLとEXEファイルを実行し、後者はAgentTeslaスパイウェアであり、侵害されたシステムに感染します。CERT-UAの調査によると、8月11日には類似のフィッシングメールが配信されましたが、それらはメールの件名や添付ファイルに異なるおとりを使用していました。

UAC-0120の活動を検出するための戦略: フィッシング攻撃を予防的に防御するSigmaルール

情報窃取マルウェアを拡散する多様な敵対者の活動に対して予防的に防御するため、サイバーセキュリティ研究者たちは脅威検出能力を強化し、脅威ハンティングの速度を向上させる方法を模索しています。SOC Primeチームは、AgentTeslaスパイウェアを配布中のサイバー攻撃の背後にあるUAC-0120グループの悪意のある活動を検出するために独自の Sigmaルール をキュレートしています。これらのフィッシングキャンペーンはウクライナ、オーストリア、ドイツからの数多くの組織をターゲットにしているため、サイバー防衛者は常に警戒を怠らず、組織のインフラストラクチャ内での感染を防ぐために迅速に対応する必要があります。

サイバーセキュリティの実務者は、グループ識別子「UAC-0120」に基づく関連する脅威をSOC Primeで閲覧し、MITRE ATT&CK®やCTIのリファレンスといった洞察に満ちたコンテクストメタデータで強化された関連するSigmaルールに即座にアクセス可能です。

AgentTeslaマルウェアを大量に拡散するUAC-0120グループの悪意ある活動を検出するSigmaルール

すべてのSigmaルールは SOC PrimeのDetection as Codeプラットフォーム で利用可能であり、業界をリードするSIEM、EDR、XDR技術にまたがって適用することができます。

AgentTeslaマルウェア検出のためのコンテクストで強化されたSigmaルールに、SOC Primeのサイバー脅威検索エンジンから直接即座にアクセスします。『 Explore Detections 』ボタンをクリックし、包括的なコンテクスト情報を伴った関連検出コンテンツを深堀りして、脅威を詳細に調査してください。検出ルールだけでなく他に何かお求めですか？柔軟性が最ものサービスを提供する需要提供のDetection as Codeをご利用ください。

Explore Detections プランを選択

MITRE ATT&CK®コンテクスト

すべての専用Sigmaルールは、 MITRE ATT&CK®フレームワーク と整合しており、次のような敵対者の戦術と手法に対応し、サイバーセキュリティの専門家がUAC-0120グループの継続中のメールキャンペーンの裏にあるMITRE ATT&CKのコンテクストを即座に把握できるようにします。

SOC Primeのプラットフォームで利用可能な最新で最も関連性のあるDetection-as-Codeコンテンツに、需要に応じてアクセスして、出現する脅威に先んじましょう。『 On-Demand購読プラン 』を選択し、最大2,200時間の脅威リサーチと検出コンテンツ開発時間を節約し、SOCチームのリソースの価値を最大限に高めましょう。