Armageddon APT ハッカーグループ (UAC-0010) がウクライナ国家特別通信局を装いフィッシングメールを拡散

ロシア関連のArmageddon APT別名 Gamaredon またはUAC-0010は、グローバルサイバー戦争の勃発以来、ウクライナに対する一連のサイバー攻撃を開始しています。2022年11月8日、CERT-UAは 最新の警告 を発表し、このロシア後援のサイバースパイ集団の進行中のスピアフィッシングキャンペーンについて詳述しています。このターゲットを絞った敵対的キャンペーンでは、Armageddon APTのハッカーが悪意のあるメール添付ファイルの攻撃ベクトルを利用しています。

Armageddon APT（UAC-0010）サイバー攻撃：ウクライナに対する最新のフィッシングキャンペーンの分析

ウクライナへの ロシアの全面的侵攻以来、悪名高い ロシア関連のArmageddon APT 集団は、UAC-0010またはPrimitive Bearとしても追跡され、ウクライナに対するターゲットキャンペーンでフィッシングや悪意のあるメール添付ファイルの攻撃ベクトルを活用してきました。2022年5月と7月には、このハッキング集団は GammaLoad.PS1_v2悪意のあるソフトウェアを大量配布し、2022年8月には GammaSteel.PS1とGammaSteel.NETマルウェア を用いて感染を拡散しました。

CERT-UA#5570警報で報告された進行中の敵対的キャンペーンでは 、感染チェーンが悪意のある添付ファイルを含むフィッシングメールによって開始され、開かれるとJavaScriptコードを含むHTMLファイルをダウンロードします。後者は脆弱なコンピュータにショートカットLNKファイルを含むRARアーカイブを作成します。一度開かれると、上記のLNKファイルはHTAファイルをダウンロードして起動し、それがさらに悪意のあるVBScriptコードを実行します。その結果、ターゲットシステムに情報盗難マルウェアのサンプルを含む一連の悪意のあるストレインを展開します。, the infection chain is triggered by phishing emails containing a malicious attachment, which, if opened, downloads an HTML file with JavaScript code. The latter creates a RAR archive with a shortcut LNK file on the vulnerable computer. Once opened, the above-mentioned LNK file downloads and launches an HTA file, which, in turn, runs malicious VBScript code. As a result, this leads to deploying a series of malicious strains on the targeted systems, including info-stealing malware samples.

CERT-UAの研究者は、フィッシングメールが@mail.gov.uaサービスを通じて配信されていると報告しています。さらに、Armageddon APTのハッカーは、第三者サービスやTelegramを使用してC2サーバーのIPアドレスを特定する一般的な敵対行動パターンを適用してサイバー攻撃を開始します。

ウクライナの企業に対する最新のArmageddon APTキャンペーンの検出

2022年3月以来、ウクライナを繰り返し標的としてきたロシア関連のArmageddon APTによる一連のフィッシングキャンペーンは、セキュリティ実務者によるタイムリーな検出と超迅速な対応を要求するエスカレートする脅威となっています。SOC PrimeのDetection as Codeプラットフォームは、攻撃ライフサイクルの最初の段階でCERT-UA#5570警報に関連する悪意のあるアクティビティを特定するためのキュレーションされたSigmaルールのバッチを提供しています。以下のリンクをクリックして、対応するサイバーセキュリティ警報に基づいた「CERT-UA#5570」とタグ付けされた関連検出コンテンツにアクセスしてください：

CERT-UA#5570警報でカバーされたUAC-0010グループの悪意のあるアクティビティを検出するためのSigmaルール

ロシアの全面的侵攻以来、サイバー防御者によって追跡されている既存および新たなArmageddon APTサイバー攻撃から積極的に防御するために、 検出を探索 ボタンをクリックして、専用の検出スタックにアクセスしてください。すべてのSigmaルールはMITRE ATT&CK®と連携しており、関連するCTIリンク、緩和策、実行可能バイナリ、その他の関連メタデータを含む広範なサイバー脅威コンテキストで豊かになっています。検出ルールは、業界をリードするSIEM、EDR、およびXDRソリューションへの翻訳を含むパックで提供されています。

検出を探索

脅威のハンティングルーチンを簡素化し、検出エンジニアリングの能力を高めるために、セキュリティ専門家は、CERT-UA#5570警報でカバーされたUAC-0010の敵対者の悪意のあるアクティビティに関連するIOCを検索できます。関連するIOCを含むテキストを貼り付けるだけで、 Uncoder CTI を使用し、選択した環境で実行するためのカスタムIOCクエリを取得します。

MITRE ATT&CK®コンテキスト

CERT-UA#5570警報でカバーされたロシア関連のArmageddon APTグループ（UAC-0010）の最新のサイバー攻撃の背景に飛び込むために、すべての専用Sigmaルールは MITRE ATT&CK®フレームワーク に連携して対応する戦術と技術を扱っています：