アルマゲドン・サイバー諜報グループ、UAC-0010として追跡されEUおよびウクライナ政府機関を攻撃

[post-views]
4月 06, 2022 · 6 分で読めます
アルマゲドン・サイバー諜報グループ、UAC-0010として追跡されEUおよびウクライナ政府機関を攻撃

更新: によると 最新の情報提供 2022年4月7日、ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、数日前に確認された類似の行動パターンによる攻撃キルチェーンの直後に、ウクライナの国家機関に対する最近のフィッシング攻撃の詳細を含む警報を発行しました。

2022年4月4日、CERT-UAは 警告 ウクライナの政府機関を狙ったスピアフィッシングキャンペーンが進行中であるとして、悪意のある添付ファイルを含むメールが拡散されていると警告する通知を発表しました。CERT-UAの研究者は、UAC-0010として追跡されるアーマゲドンとしても知られるハッキンググループが、ウクライナ政府官僚を対象にしたスピアフィッシング攻撃の背後にあると信じています。

同日、もう一つの CERT-UAの情報提供 が出され、上記の脅威アクターに起因する新たに検出された活動について警告しました。この時は、悪意のある添付ファイルを含むフィッシングメールの配信によって被害を受けた欧州の国家機関をアーマゲドンの攻撃が襲いました。

アーマゲドン (UAC-0010) サイバースパイ活動: 概要と分析

によると ウクライナ安全保障庁(SSU)によると、アーマゲドンは2013年から2014年にかけてサイバー領域で注目されています。このサイバースパイグループは、ウクライナの政府機関を対象とした機密情報を収集するためのターゲットサイバーインテリジェンスや破壊活動を行うためにロシア連邦保安庁の一部として創設されました。脅威アクターはアーマゲドンAPTまたはガマレドンAPTとして追跡され、その後者 group has been created as an integral part of the Federal Security Service of the Russian Federation aimed to perform targeted cyber intelligence and subversive activities against Ukrainian government entities in order to collect sensitive information. Threat actors are tracked as Armageddon APT also known as Gamaredon APT, with the latter グループ名 は「アーマゲドン」の単語のスペルミスに由来しています。

アーマゲドンの脅威アクターは、広く使われた対抗手法の一つとしてフィッシングキャンペーンを通じて多くのユーザーを脅かすなど、類似のTTPを活用してきました。彼らの活動が公開された期間中、 悪意のある添付ファイルを伴ったメールを広範囲に送信し 、複数のマルウェア株を拡散させることがグループの主な攻撃ベクトルとなっており、最近のサイバー攻撃も例外ではありません。この ガマレドン グループ は、初期の活動においては主にオープンソースソフトウェアに依存しつつ、徐々に独自のサイバースパイツール(ペテロド/Pteranodonや EvilGnome マルウェアを含む)でツールキットを充実させようとしています。

As CERT-UA が報告したところによれば、ラトビアの国家機関を標的とするサイバースパイアクターの最新活動は、悪意のあるショートカットファイルを含むRARアーカイブを含むフィッシングメールの送信が含まれています。ウクライナ政府機関に対するサイバー攻撃では、アーマゲドンのハッカーは 顧客目線での引き付けメールを送り、 ロシアに関連する戦争犯罪者に関するデータを扱う内容を持つこれらのフィッシングメールには、HTMの添付ファイルが含まれており、開くと悪意のあるLNKファイルが含まれるRARアーカイブを生成し、さらにVBScriptコードを実行して感染させます。

アーマゲドン(UAC-0010)によるサイバー攻撃を検出するためのSigma行動ベースのコンテンツ

セキュリティの専門家は、SOC Prime TeamからのキュレーションされたSigmaベースの検出ルールセットを使用して、アーマゲドン(UAC-0010)ハッキンググループの最新活動を追跡できます:

https://tdm.socprime.com/expert/?tagsCustom[]=UAC-0010

上記のすべての検出ルールは、対応する脅威アクターの悪意のある活動に関連するコンテンツを検索するために #UAC-0010 としてタグ付けされています。ルールキットにアクセスして脅威を追跡するには、必ずサインアップまたはログインしてください。 SOC Primeのコードとしての検出 プラットフォーム。

MITRE ATT&CK® コンテキスト

アーマゲドン/UAC-0010がウクライナ及びEUの政府官僚を対象にした最近のサイバー攻撃のコンテキストに深く掘り下げるために、すべての専用のSigmaベースの検出は、対応する戦術と技術に対処するMITRE ATT&CKフレームワークの最新バージョンにマッピングされています。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

APIを通じたUncoder AI機能へのアクセス 2 分で読めます SOCプライムプラットフォーム APIを通じたUncoder AI機能へのアクセス by Steven Edwards Uncoder AIの脅威検出マーケットプレイスを検索する 3 分で読めます SOCプライムプラットフォーム Uncoder AIの脅威検出マーケットプレイスを検索する by Steven Edwards Sigmaから48の言語に翻訳する 3 分で読めます SOCプライムプラットフォーム Sigmaから48の言語に翻訳する by Steven Edwards
すべてのニュース