Armageddon脅威アクター(別名UAC-0010)がウクライナに対するフィッシング攻撃でGammaLoad.PS1_v2マルウェアを再び拡散

[post-views]
7月 27, 2022 · 7 分で読めます
Armageddon脅威アクター(別名UAC-0010)がウクライナに対するフィッシング攻撃でGammaLoad.PS1_v2マルウェアを再び拡散

2022年春、悪名高いロシアの国家支援によるサイバー諜報グループ アルマゲドン(UAC-0010としても追跡される)は、ウクライナおよび欧州の国家機関を対象に一連のフィッシングサイバー攻撃を開始しました。2022年7月26日、CERT-UAは 一連の新しいサイバーセキュリティアラートを発行し これらのロシアに関連する脅威アクターによるウクライナをターゲットとしたフィッシングキャンペーンの波と、GammaLoad.PS1_v2マルウェアの大量配布について世界のサイバーディフェンダーコミュニティに警告しました。

アルマゲドンAPT(UAC-0010)最新のサイバー攻撃分析:GammaLoad.PS1_v2マルウェアの大量配布

2014年以来、そして ウクライナに対するロシアの攻撃 が2022年2月24日に激化するにつれて、ロシアはハイブリッド戦争を進化させ、サイバー諜報キャンペーンを強化しています。技術報告によると ウクライナ保安庁(SSU)、アルマゲドンハッキング集団は、ウクライナ国家機関に対する諜報およびサイバー諜報活動を実行するための特別部隊として創設されました。元グループ名の誤記をもとにした ガマレドン としても知られています。 

アルマゲドンAPTグループによって開始された2022年春の一連のサイバー攻撃の後、脅威アクターは再びフィッシングメール攻撃ベクトルを悪用しています。以前、2022年4月に、UAC-0010としても認識されるグループが ウクライナおよび欧州の国家機関を標的としたサイバー攻撃 を一連に仕掛け、悪意のある添付ファイルを含むフィッシングメールを拡散しました。その1か月後、アルマゲドングループは、最も好まれるフィッシング攻撃ベクトルを活用してサイバー脅威の舞台に再登場し、 GammaLoad.PS1_v2悪意のあるソフトウェアを展開しました 侵入されたシステム上に。

によれば 最新のCERT-UAアラート、UAC-0010ハッキング集団は、ウクライナ保安庁の国家学院を装った送信者として、大量の標的フィッシングメールを戦争関連の餌文を件名として利用し、拡散しています。これらの偽装メールには感染チェーンを引き起こすHTMドロッパーが含まれており、開かれると、被害者を騙して開かせるための餌として使用されるLNKショートカットファイルを含む悪意のあるRARアーカイブを作成します。開かれると、上述のLNKファイルは、VBスクリプトコードを含むHTAファイルをダウンロードして実行し、PowerShellを適用してターゲットコンピュータ上でGammaLoad.PS1_v2マルウェアを復号し起動します。検出を回避するために、攻撃者はC2サーバーのDNS解決を防ぐために外部サービスを使用します。 

上述の敵対的技術を活用したフィッシングサイバー攻撃の劇的な増加のため、世界中の組織はサイバーセキュリティ戦略の一部として包括的な攻撃面管理プログラムを実施することが強く推奨されます。組織のデバイスで外部メールサービスを使用することにより、メール内容が適切なセキュリティチェックを受けることが妨げられ、フィッシング攻撃につながる可能性があります。 

UAC-0010活動の検出:新興フィッシングサイバー攻撃に対抗するためのSigmaルール

世界中の何千もの組織をターゲットとしたフィッシングサイバー攻撃が絶え間なく増加している中、サイバーディフェンダーは、関連する悪意のある活動に対して積極的に防御することが、組織のサイバーセキュリティ体制を強化するための最優先事項であることを認識しています。 SOC Primeの「Detection as Code」プラットフォーム は、高精度のアラートと検証済みの脅威ハンティングクエリを選定し、最新のCERT-UAアラートでカバーされているアルマゲドン脅威アクター(UAC-0010)の悪意のある活動を速やかに特定することを組織に可能にします。 

コンテンツ検索を簡素化するために、すべての検出は #UAC-0010 として、敵対者の活動に関連付けられた識別子に基づいてタグ付けされています。登録済みのSOC Primeユーザーは、専用の Sigmaルール を利用することができ、以下のリンクをたどることでアクセスできます。 

最新のCERT-UAアラートでカバーされているアルマゲドンAPT(UAC-0010)の悪意のある活動を見つけるSigmaベースのルール

サイバーセキュリティ専門家はまた、「ディテクト&ハント」ボタンをクリックしてアルマゲドングループ(別名ガマレドン)によるサイバー攻撃を検出するためのさらなるSigmaルールにアクセスすることを歓迎します。あるいは、インフォセックの実務家は、SOC Primeのサイバー脅威検索エンジンでUAC-0010の敵対活動を検索し、登録不要ですぐに包括的な脅威コンテキストを探索することができます。MITRE ATT&CK 「ディテクタント・ハント」 およびCTI参照、メディアリンク、Sigmaルールにリンクされている実行可能バイナリなど、関連する検出と共にさらに多くのコンテキストメタデータを提供します。® およびCTI参照、メディアリンク、Sigmaルールにリンクされている実行可能バイナリなど、関連する検出と共にさらに多くのコンテキストメタデータを提供します。

「ディテクト&ハント」 「脅威コンテキストを探る」

「MITRE ATT&CK®コンテキスト」

アルマゲドンAPTグループ(別名UAC-0010)の最新のサイバー攻撃のMITRE ATT&CKコンテキストを把握するために、すべての専用Sigmaルールは MITRE ATT&CK®フレームワーク に整合しており、対応する戦術と技術に応じています。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 9 分で読めます 最新の脅威 Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 by Veronika Telychko AI脅威インテリジェンス 22 分で読めます SIEM & EDR AI脅威インテリジェンス by Veronika Telychko CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 11 分で読めます 最新の脅威 CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 by Veronika Telychko
すべてのニュース