CAPIBARとKAZUARマルウェア検出：Turla別名UAC-0024またはUAC-0003がウクライナに対して標的型サイバー諜報活動キャンペーンを展開

少なくとも2022年以来、UAC-0024として追跡されているハッキング集団は、ウクライナの防衛軍を標的とした一連の攻撃作戦を展開してきました。このグループのサイバー諜報活動は主に、CAPIBARマルウェアを利用した情報収集に焦点を当てています。攻撃者のTTPとカズアという別のマルウェアの使用が判明したことに基づき、この敵の活動は悪名高い Turla APT ロシア連邦保安庁によって支援されているグループに関連付けることができます。

Turla APT aka UAC-0024 攻撃説明

CERT-UAの研究者は最近 警告を発し UAC-0024ハッカーによる進行中のサイバー諜報活動の概要をカバーしました。また、 Turla APT2023年5月にNATO諸国に対する 長期キャンペーンの背後にいると観測されたこのロシア関連グループは、Iron Hunter、Krypton、またはSecret Blizzardという別名でも知られ、CERT-UAによって代替的にUAC-0003として追跡されています。主に公共部門、外交機関、軍事組織を標的として、フィッシング攻撃ベクトルを活用しています。

1年以上にわたり、この悪名高いロシア支援のハッキング集団は、CAPIBARマルウェアとしても追跡されるDeliveryCheckまたはGAMEDAYを悪用して、ウクライナとその同盟国に対して標的型サイバー諜報攻撃を行ってきました。この悪質なストレインは、XSLT言語とCOMハイジャックを適用し、特定のPowerShellユーティリティを介してMOFファイルとして偽装されたMS Exchangeサーバーにインストールすることができ、攻撃者が正当なサーバーをリモートマルウェア管理のツールに変えることを可能にします。

攻撃の初期段階で、UAC-0024のハッカーは、大量のメールを配布し、ファイルとマクロを含む添付ファイルを開くように潜在的な被害者を誘惑します。PowerShellを起動するコードスニペットのセットを含む合法的なマクロを開くと、ターゲットシステムで感染チェーンがトリガーされます。これにより、KAZUARバックドアを投入することができ、数十の悪質な機能を実行する能力があり、例えばChakraCore経由でJavaScriptコードを起動したり、OSレジストリからイベントログを収集したり、認証情報の窃取（ユーザーパスワード、クッキー、ブックマークおよびその他の機密データの窃取など）やデータベースおよびソフトウェア構成ファイルの窃取を行ったりします。また、脅威アクターは、Rcloneオープンソースのファイル管理コマンドラインユーティリティを悪用して、侵害されたコンピュータからデータを抽出することが可能です。

CERT-UA#6981アラートでカバーされたウクライナに対するUAC-0024攻撃を検出

Turla APTまたはUAC-0024として追跡されるロシア関連の脅威アクターによる持続的攻撃は、1年以上にわたりサイバー脅威アリーナで注目を集めており、サイバーディフェンダーの完全な注目を集めています。進行中のロシア支援の脅威に対するプロアクティブなサイバー防御を実施しようとする進歩的な組織は、UAC-0024攻撃検出用にキュレーションされたコンテンツスタックを含む、数千の関連するSigmaルールを活用することが可能です。

「 検出を探索する 」ボタンをクリックすると、CERT-UAの通知と対応するグループ識別子に従った「CERT-UA#6981」、「UAC-0024」、または「UAC-0003」とタグ付けされた専用のSigmaルールの全コレクションにアクセスすることができます。検出ルールとハンティングクエリは、数十のセキュリティ分析プラットフォームとデータレイクソリューションに適用可能で、カスタマイズされたインテリジェンスで強化されており、環境での導入準備が整っています。

検出を探索する

CERT-UAは、関連するファイルおよびホストの侵害指標のリストも CERT-UA#6981アラート で提供し、セキュリティエンジニアがTurla関連の脅威を効果的にハントすることを可能にします。SOC Primeの Uncoder AIにサポートされ、即座に生成されたIOCクエリを使用したIOCのハントは、脅威調査の時間を秒単位で削減するのに役立ちます。

MITRE ATT&CK® コンテキスト

UAC-0024攻撃検出用の上記のSigmaルールはすべて、 MITRE ATT&CKフレームワーク v12に対応しており、対応する戦術と技術を取り扱っています。以下の表を探索して、関連するロシア関連のサイバー諜報活動の詳細なサイバー脅威コンテキストを理解し、あらゆる規模の脅威をタイムリーに軽減してください。