フォローする 
2023年の秋の変わり目に、ロシア支援を受けた APT28ハッキンググループ がサイバー脅威の舞台に再登場し、ウクライナの電力産業部門の重要インフラを標的にしています。
CERT-UAは最近 セキュリティ通知を発行しました 偽の送信者メールアドレスからのフィッシング攻撃をカバーしており、悪意のあるアーカイブへのリンクが含まれています。このリンクをたどると、誘惑画像とCMDファイルを含む武器化されたZIPアーカイブがダウンロードされ、感染がコンプロマイズされたシステム内でさらに拡散されます。
APT28攻撃の説明:Microsoft Edge、TOR、およびMockbinサービスを使用した新しいキャンペーン
2023年9月4日、最新のCERT-UA注意報によると CERT-UA#7469、 悪名高いロシア支援を受けたAPT28グループ (UAC-0028 aka UAC-0001)が再浮上し、ウクライナのエネルギー部門の組織に目を向けています。このキャンペーンでは、敵対者はフィッシング攻撃ベクトルを適用し、ウクライナに対する攻撃作戦でよく使用される方法で重要な組織のインフラを麻痺させようとしています。
ハッカーは偽の送信者アドレスからのメールを拡散し、画像ルアーおよびCMDファイルを含むZIPアーカイブへのリンクとともに広めています。後者を実行すると複数のルアーWebページが開き、BATおよびVBSファイルが生成され、特定のVBSファイルが実行され、それが武器化されたバッチファイルの実行につながります。これらの操作を実行すると、Microsoft Edge経由でURLアドレスがトリガーされ、後で対象システムの別のカタログに移動され、CMD拡張子に変更されてさらに実行および削除されるCSSファイルが生成されます。
CERT-UAの調査によると、ハッカーは「whoami」コマンドを実行し、HTTP GETリクエストを使用してヘッドレスモードで結果を送信するために意図されたCMDファイルをダウンロードすることに成功しました。
さらなる調査で、敵対者がfile.ioプロジェクトを使用して脆弱なインスタンスにTORソフトウェアをダウンロードし、TORを介して情報ストリームを関連するホスト、ドメインコントローラーおよび電子メールサービスを含むに転送するための隠されたサービスを生成したことが明らかになりました。ターゲットユーザーアカウントのハッシュパスワードを取得するために、敵対者はソケットオープナーとしてのPowerShellスクリプトとSMB接続を開始するためにNet Useコマンドを利用しました。
さらに、ハッカーは合法的なWebhook.siteサービスのAPIを介してcurlコマンドラインユーティリティを遠隔コード実行に適用します。持続性を維持するために、APT28グループはバッチファイルを引数として使用するVBSスクリプトを起動するようにスケジュールされたタスクを作成します。
この最新のウクライナに対する攻撃では、ロシアに関連するAPT28グループが LOLBins、彼らの攻撃ツールキットによく使用される検出回避のためによく用いる手法を活かしました。
Mockbinサービスへの制限アクセスを利用し、Windows Script Hostの起動をブロックすることは脅威の軽減に役立ちました。防衛者はまた、curlとmsedgeを“–headless=new”パラメータで実行することを推奨していますが、これは関連する脅威の検出と攻撃の予防の信頼できる手段です。
CERT-UA#7469アラートでカバーされたウクライナに対するAPT28キャンペーンを検出
ロシアに関連する国家支援の攻撃勢力、特に悪名高いAPT28グループによるサイバー攻撃の増加に伴い、防衛者はウクライナおよびその同盟国が重要なインフラを防御する助けとなるサイバー レジリエンスを強化しようと努力しています。SOC Prime Platformは、組織がAPT28ハッカーによって開始されたフィッシング攻撃に対して積極的に防御することでサイバーセキュリティ体制を強化できるよう、関連するSigmaルールセットをキュレートしていますが、最新の電力産業分野をターゲットにした悪意のある活動を含む。
検出アルゴリズムは、グループIDおよび対応するCERT-UA注意報に基づいてフィルタリングされているため、防衛者は「CERT-UA#7469」または「APT28」タグで脅威検出マーケットプレイスのコンテンツライブラリで関連するルールを検索できます。関連する検出スタックのすべてのSigmaルールは、 MITRE ATT&CK® に整列しており、複数のオンプレミスまたはクラウドネイティブなセキュリティ分析プラットフォームに自動変換できます。
最新のCERT-UA#7469アラートでカバーされた攻撃検出用の行動ベースのSigmaルールのリストにアクセスするには、以下のリンクをたどってください:
CERT-UA#7469アラートでカバーされたAPT28による攻撃を検出するSigmaルール
対応するカスタムタグでフィルタリングされたAPT28検出用のSigmaルール全体のコレクションを詳しく調べるには、 検出を探る 以下のボタンをクリックしてください。グループの攻撃バックグラウンドに関連するサイバー脅威コンテキスト、ATT&CKおよびCTIリンク、軽減策、および他の関連付けられたメタデータを詳しく調べて脅威の研究を円滑にしてください。
また、チームは APT28に関連するIOC をシームレスにIOCクエリを生成し、選択されたハンティング環境で実行することで検索できます Uncoder AI。
MITRE ATT&CKコンテキスト
サイバーセキュリティ愛好者も、CERT-UA#7469アラートでカバーされた最新のAPT28キャンペーンをさらに掘り下げることができます。以下の表を参照して、上記のSigmaルールにリンクされた適用可能なすべての敵対者の戦術、技術、およびサブテクニックのリストを詳細に分析してください:
Tactics | Techniques | Sigma Rule |
Initial Access | Phishing: Spearphishing Attachment | |
Execution | Exploitation for Client Execution (T1203) | |
Command and Scripting Interpreter (T1059) | ||
Command and Scripting Interpreter: PowerShell (T1059.001) | ||
Command and Scripting Interpreter: JavaScript | ||
Command and Scripting Interpreter: Visual Basic (T1059.005) | ||
Scheduled Task/Job: Scheduled Task (T1053.005) | ||
Defense Evasion | Masquerading (T1036) | |
Indicator Removal (T1070) | ||
Indicator Removal: File Deletion (T1070.004) | ||
Command and Control | Web Service (T1102) | |
Proxy: Domain Fronting (T1090.004) | ||
Ingress Tool Transfer (T1105) | ||
Application Layer Protocol: Web Protocols (T1071.001) | ||
Exfiltration | Transfer Data to Cloud Account (T1537) | |
Exfiltration Over Web Service: Exfiltration to Cloud Storage (T1567.002) | ||
Exfiltration Over C2 Channel (T1041) |
