APT28 Adversary Activity Detection: New Phishing Attacks Targeting Ukrainian and Polish Organizations

2023年12月後半を通じて、サイバーセキュリティ研究者は悪名高いロシア支援の APT28ハッキング集団によるウクライナ政府機関とポーランドの組織に対する一連のフィッシング攻撃を発見しました。CERT-UAは、最新のAPT28攻撃に関する詳細な概要をカバーする警告を最近発行しました。この概要には、初期の侵害からドメインコントローラーへの脅威となるまで1時間以内の動向が含まれています。

APT28フィッシング攻撃の説明

2023年12月28日、 CERT-UAはセキュリティ警告を発行し 、ロシア関連の国家支援 APT28グループ （別名 Fancy Bear APTまたはUAC-0028）がウクライナの政府機関とポーランドのいくつかの組織に対して行った新たなフィッシング攻撃の波を覆っています。敵対者が送信するフィッシングメールには、マルウェアサンプルで標的システムを感染させることを目的とした有害なファイルへのリンクが含まれています。 

上記の悪意あるリンクは、標的ユーザーをJavaScriptと「search」(「ms-search」)アプリケーションプロトコルを介してショートカットファイルをダウンロードするWebサイトにリダイレクトします。ショートカットファイルを開くことで、リモート(SMB)リソースからダウンロードし、デコイ文書とPythonプログラミング言語のインタープリタ、PythonベースのMASEPIEマルウェアを起動するPowerShellコマンドを実行します。後者は、トンネリング用のOPENSSH、インターネットブラウザからデータを盗むためのPowerShellスクリプトであるSTEELHOOK、およびバックドアOCEANMAPをダウンロードして起動します。さらに、初期の侵害から1時間以内にIMPACKET、SMBEXEC、その他の攻撃ツールが作成され、ネットワークの偵察とさらなる横移動の試みが行われます。

MASEPIEはグループの敵対者ツールキットに含まれるPythonベースのマルウェアで、TCPプロトコルを使用したファイル転送とコマンド実行を目的とした基本機能を備えています。データはAES-128-CBCアルゴリズムで暗号化されます。バックドアはOSレジストリの「Run」ブランチに「SysUpdate」キーを作成し、スタートアップディレクトリにLNKファイルを作成することで永続性を確保します。

適用されたOCEANMAPバックドアはC#ベースのマルウェアで、IMAPを使ったコマンド実行を行います。コマンドはメールドラフト内でbase64にエンコードされています。マルウェアにはバックドア実行ファイルのパッチを当て、その後プロセスを再起動する構成更新メカニズムが含まれています。OCEANMAPは起動ディレクトリに「VMSearch.url」ファイルを作成し、永続性を確保します。

観測されたTTPは、少なくとも2021年6月からウクライナに対してスピアフィッシングキャンペーンを開始しているAPT28グループに共通です。 サイバースパイウェアを利用して 目標とするネットワークを感染させています。

特に最近の攻撃キャンペーンによれば、脅威アクターは攻撃の範囲を広げ、情報通信システム全体を感染させることを目指していることが明らかになっています。このため、どのワークステーションも侵害されることで、ネットワーク全体に脅威を与える可能性があります。 

CERT-UA#8399アラートでカバーされたAPT28攻撃を検出する

ロシア支援のAPT28グループは継続的に新しい攻撃戦略を探索し、ウクライナとその同盟国をサイバードメインでターゲットにしています。ウクライナとポーランドの組織に対する最新の敵対的活動に焦点を当てた新しいCERT-UA#8399アラートのリリースに伴い、SOC Primeプラットフォームは関連する行動ベースの検出アルゴリズムのキュレートされたリストを提供しています。以下のリンクをたどり、「CERT-UA#8399」カスタムタグでフィルタされたすべての専用Sigmaルールを詳しく調べ、それらのクロスプラットフォーム翻訳を探り、MITRE ATT&CK®のコンテキストを調べることで、より早く攻撃を帰属させることができます。

CERT-UA#8399アラートに基づくAPT28攻撃を検出するためのSigmaルール

プロアクティブなサイバー防御能力を強化するため、先進的な組織はAPT28攻撃的作戦に関連する全検出スタックを利用することができます。クリックして 検出を探る ことで、グループの敵対活動に起因する既存および新たな脅威に対処する70以上のコンテキスト強化されたSigmaルールにアクセスできます。 

検出を探る

セキュリティ技術者はまた、関連するCERT-UAレポートからの侵害指標に基づく回顧的IOCマッチングを合理化できます。 Uncoder IOを活用することで。オープンソースのIDE for Detection Engineeringを使用して、 CERT-UAアラート からの脅威インテルを解析し、使用されているサイバーセキュリティ言語に特化したカスタムIOCクエリに変換することができます。

MITRE ATT&CKコンテキスト

MITRE ATT&CKを活用することで、APT28に帰属する攻撃作戦の文脈に関する詳細な可視性を提供します。以下の表で、ウクライナ公共部門とポーランドの組織に対する最新キャンペーンで使用されたATT&CK戦術、技術、サブ技術に対応する専用Sigmaルールの完全なリストを確認してください。