UAC-0010として知られるArmageddon APTがウクライナに対する新たなフィッシングキャンペーンでGammaLoad.PS1_v2スパイウェアを配布

悪名高いロシア国家支援のハッキング集団、 アルマゲドンは、ウクライナや欧州の国家機関を標的にしたフィッシング攻撃に最近関与し、悪意のある活動を続けています。最新の CERT-UAの調査によると、Armageddonの脅威アクター（UAC-0010としても識別される）がウクライナを標的にした別のサイバー攻撃で観察され、フィッシングメールを配布し、GammaLoad.PS1_v2と呼ばれる悪意のあるソフトウェアを拡散していることが確認されました。

ウクライナを標的にしたアルマゲドンAPTによるGammaLoad.PS1_v2マルウェアの配信: 攻撃分析

ウクライナの 治安局（SSU）の報告によると、Armageddonの脅威アクターは Gamaredon （EsetやPaloAltoの研究者による）またはPrimitive Bear（CrowdStrikeによる）としても追跡されており、ウクライナに対するサイバー戦線での情報活動や破壊活動を行うために、ロシア連邦保安庁の特別部隊として作成されたAPTグループと識別されています。

前回の 4月の攻撃では、このサイバーエスピオナージュグループは、フィッシングメールを介して配信されたGammaLoad.PS1マルウェアを使用し、悪意のあるVBScriptコードを使用した感染チェーンを展開しました。その1か月後には、ウクライナを標的にしたArmageddon APTによる別のフィッシングキャンペーンが、GammaLoad.PS1_v2と識別される更新されたマルウェアバージョンを適用しました。

フィッシングは、ロシアに関連するArmageddon APTグループの最も好まれる攻撃ベクトルであり、最新のキャンペーンも例外ではありません。今回は、Armageddonグループは、フィッシングルアーとしてメール件名およびファイル名を適用し、悪意のある添付ファイルで感染チェーンを引き起こすという共通の対抗手法を選択しました。 CERT-UAの研究に基づくと、そのようなフィッシングメールはHTM添付ファイルと共に送信され、それを開くとLNKファイルのショートカットを含むRARアーカイブが作成され、HTAファイルを実行し起動する可能性があります。後者は2つのファイルを生成し実行し、最終的に対象コンピュータにGammaLoad.PS1_v2をドロップします。

Armageddon APTサイバー攻撃を検出するためのSigmaルール

Armageddon APT（UAC-0010）によるフィッシングサイバー攻撃に対して組織が積極的に防御を行うのを助けるために、SOC Primeは、アラートやクエリを含む特定のタグでフィルタリングされた専用のSigmaルールのユニークなセットを提供しています #UAC-0010 を使用して、コンテンツ検索を簡素化します：

Armageddonグループ（UAC-0010）による悪意のある活動を検出するためのSigmaルール

検出エンジニアは、既存のアカウントでSOC Primeのプラットフォームにログインした後、関連性の高いルールをユースケース、コンテンツタイプ、ログソース製品またはカテゴリー、イベントIDならびに環境のニーズに合わせた他のデータソースで選択することで、精選されたコンテンツアイテムの包括的なリストにアクセスできます。

MITRE ATT&CK® コンテキスト

敵の行動パターンに焦点を当てた深い分析のために、Armageddon/UAC-0010ハッキング集団の悪意のある活動を検出するためのすべてのSigmaルールは、MITRE ATT&CKの対応する戦術と技術に合わせて配置されています。