APT28またはUAC-0001グループがウクライナの国家機関を標的にしたOSアップデート指示を装うフィッシングメールを利用

悪名高いロシアの国家支援ハッキング集団として追跡されている APT28 またはUAC-0001が、ウクライナ政府機関に対する標的型攻撃の歴史を持ち、サイバー脅威の舞台に再び現れました。 

最新の CERT-UA#6562アラート によると、2023年4月にこのハッキング集団がフィッシング攻撃ベクトルを利用してウクライナの国家機関を対象に大量のスプーフィングメールを送信したことが確認されました。ハッカーたちは、対応する部門のシステム管理者を装った偽造の送信者アドレスを使い、Windows OS更新の件名をおとりに利用しました。

CERT-UA#6562アラートに含まれるAPT28フィッシング攻撃分析

2023年4月28日、CERT-UAの研究者たちは 新しいアラートを公開し ロシアと関連付けられたハッキンググループUAC-0001/UAC-0028、別名APT28またはFancy Bear APTに関連する電子メールスプーフィングを利用した大規模なフィッシングキャンペーンについてサイバー防御者に警告しました。2022年、CERT-UAはこれらのロシアの国家後援された脅威アクターが同様の攻撃ベクトルを使用している悪質な活動について報告しました。ほぼ一年前、APT28はメールスプーフィングを利用し セキュリティ通知としてメッセージを装い、2022年6月には脅威アクターが悪名高いゼロデイ脆弱性 CVE-2022-30190 を悪用して CredoMapマルウェア をおとり添付ファイルで展開しました。 

最新のケースにおいて、APT28ハッキング集団は大量のフィッシングメールを配信し、それらには「Windows OS更新」というおとりの件名が含まれており、送信者はシステム管理者として偽装されていました。送信者メールは@outlook.comの公開サーバーを使用して作成され、被害者をおびき寄せるために正当な従業員の苗字とイニシャルを使用していました。スプーフィングメールには、サイバー攻撃からの保護を強化するためにWindowsを更新する方法についてウクライナ語で書かれた偽のガイドラインと、コマンドライン起動とPowerShellコマンド実行を表示するおとり画像が含まれていました。後者の目的は、OS更新として偽装されたPowerShellスクリプトをダウンロードし実行するためにPowerShellシナリオを起動することでした。その後のPowerShellシナリオは、 CERT-UA#6562アラート, the APT28 hacking collective massively distributed phishing emails that contained a lure subject “Windows OS updates” and disguised the senders as system administrators. The sender emails were created using the public server @outlook.com and applied the legitimate employee surnames and initials, which lured victims into opening them. The spoofed emails contained fake guidelines written in Ukrainian on how to update Windows to boost protection against cyber attacks along with lure images displaying the proces of a command-line launch and a PowerShell command execution. The latter was intended to launch the PowerShell scenario used to download and execute the next PowerShell script masquerading as the OS update. The subsequent PowerShell scenario was aimed at collecting basic information about the compromised system via the tasklist and syteminfo コマンドを通じて侵害されたシステムの基本情報を収集し、Mocky APIサービスへのHTTPリクエストを通じて獲得した結果を送信することを目的としていました。 

関連するフィッシング攻撃のリスクを緩和するために、サイバーセキュリティ研究者はユーザーによるPowerShellの起動を制限し、上記のMocky APIサービスへのネットワーク接続を継続的に監視することを推奨しています。 

CERT-UA#6562でカバーされたウクライナに対するAPT28攻撃に関連する悪意のある活動の検出

ロシアのウクライナに対する全面的な侵攻の初日から、セキュリティ専門家たちがウクライナの政府機関や企業をターゲットにしたフィッシングキャンペーンの大幅な急増を観測しています。ロシア後援のハッカーによる悪意のある活動を組織がタイムリーに特定できるようにするために、SOC Primeは、CERT-UAの調査でカバーされている敵対者のTTPに対応するキュレーションされた検出コンテンツを提供しています。すべての検出は、数十のSIEM、EDR、およびXDRソリューションで使用でき、SIEMの移行と手間のかかる手動の微調整に対応するための支援をします。 

以下の Explore Detections ボタンをクリックして、APT28による最新のキャンペーンを検出する専用のSigmaルールを探ります。すべてのルールには、関連メタデータが含まれており、 MITRE ATT&CK® の参照やCTIリンクが付属しています。コンテンツ検索を簡素化するために、SOC Prime Platformはカスタムタグ「CERT-UA#6562」とアラートやグループ識別子に基づく広範なタグ「APT28」でフィルタリングをサポートしています。 

Explore Detections

サイバー防御者は、ウクライナ政府機関に対する最新のAPT28キャンペーンに関連する妥協指標（IoC）を探すことで、脅威ハンティング活動を自動化することもできます。 Uncoder.IOを使用して、CERT-UAが提供するファイル、ホスト、またはネットワークの IOCをツールに貼り付けて、ターゲットクエリのコンテンツタイプを選択するだけで、選択した環境で実行するためのパフォーマンス最適化されたIOCクエリを即座に作成できます。  into the tool and select the content type of your target query to instantly create performance-optimized IOC queries ready to run in the chosen environment. 

MITRE ATT&CKコンテキスト

最新の4月のCERT-UAアラートにおけるAPT28の悪意のあるキャンペーンの背景に深く掘り下げるために、上記のすべてのSigmaルールには、関連する戦術と技法に対応するATT＆CK v12のタグが付与されています：