コバルトストライクビーコンマルウェア検出：UAC-0056グループによるウクライナ政府機関への新しいサイバー攻撃の帰属

悪名高い Cobalt Strike Beacon マルウェア がウクライナに対する 継続中のサイバー戦の一環として2022年春に複数のハッカー集団によって積極的に配布されました、主にウクライナの国家機関を対象としたフィッシング攻撃に利用されています。2022年7月6日、 CERT-UAは警告を発表しました ウクライナ政府機関を標的とした新しい悪意のあるメールキャンペーンについての警告。継続中のサイバー攻撃は、誘惑する件名のメールと、その中に悪意のあるマクロを含んだXLSファイルを添付して大量に配布するもので、結果として脅威に晒されたシステムでCobalt Strike Beacon マルウェアの感染を引き起こします。 

Cobalt Strike Beacon 配布：CERT-UAが報告したウクライナに対する最新のUAC-0056攻撃

前に、2022年3月に、CERT-UAの研究者はウクライナ政府機関を対象とした フィッシングキャンペーンを観察し、UAC-0056グループがCobalt Strike Beaconと他のマルウェアを拡散していることを確認しました。最新のサイバー攻撃は、 CERT-UAによって報告され 、同じ攻撃ベクトルを利用し、UAC-0056グループの活動に起因する同じ行動パターンを適用するという、以前の事件と類似点があります。 

攻撃のキルチェーンは、軍事関連の誘惑が記されたフィッシングメールと悪意のあるXLS文書が添付されて始まります。ユーザーが文書を開いて埋め込まれたマクロを有効にしてしまった場合、感染したインスタンス上で悪意のある“write.exe”ファイルが実行されます。CERT-UAの分析によれば、このファイルはPowerShellスクリプトをトリガーするドロッパーとして機能します。さらに、“write.exe”はWindowsレジストリに“Check License”キーを作成することによって持続性を確保しています。 

攻撃の次の段階では、PowerShellスクリプトがAMSIを回避し、PowerShellのイベントログを無効にし、Cobalt Strike Beaconの感染を目的とした第二段階のPowerShellスクリプトのデコードと抽出を確実にします。 

UAC-0056の活動を検出：ウクライナ政府に対する新たな攻撃を発見するためのSigmaルール

ウクライナ政府機関を対象とする最新の攻撃に関連した悪意のある活動の積極的な検出と軽減を支援するため、 SOC PrimeのDetection as Codeプラットフォーム は、キュレーションされたSigmaルールのバッチを提供します。関連する検出コンテンツをスムーズに検索するため、すべての Sigmaルール は、CERT-UA#4914アラートで取り上げられた最近のサイバー攻撃に関連するUAC-0056活動に基づいて#UAC-0056としてタグ付けされています。検出アルゴリズムに即時アクセスするには、下記のリンクを、SOC Primeのプラットフォームにサインアップまたはログインした後にフォローしてください：

UAC-0056グループの悪意のある活動を検出するためのSigmaルール 

サイバーセキュリティ専門家が彼らの環境での悪意のあるCobalt Strike Beaconの存在をタイムリーに識別するための検出ルールおよびハンティングクエリ全リストを取得するには、以下の 検出＆ハント ボタンをクリックしてください。SOC Primeのサイバー脅威検索エンジンを使って、UAC-0056脅威アクターの悪意のある活動を検出するSigmaルールのリストをすぐにドリルダウンし、MITRE ATT&CK®、CTI参照、CVE説明、およびその他の関連する脅威コンテキストのような詳細なコンテキストのメタデータを合わせてご覧ください。

検出＆ハント 脅威コンテキストを探求する

MITRE ATT&CK®の文脈

ウクライナの政府関係者を狙ったUAC-0056グループの活動に起因するサイバー攻撃の文脈に洞察を得るために、上述されたすべての参照されているSigmaルールは、 MITRE ATT&CK®フレームワーク と整合され、対応する戦術および技術に対応しています。