コバルトストライクビーコンマルウェアがアゾフスタル関連の標的型フィッシングメールを通じて拡散：ウクライナ政府機関へのサイバー攻撃

2022年4月18日、 CERT-UA は、ウクライナの国家機関を標的とした継続的なサイバー攻撃に関する警告を発しました。調査によれば、政府職員は、Azovstalに関連するメールを利用したフィッシング攻撃にさらされ、悪意のある添付ファイルが Cobalt Strike Beacon マルウェアを拡散しました。検出された活動は、UAC-0098として追跡されるハッカー集団に関連する行動パターンを反映しており、またの名を TrickBot.

Cobalt Strikeマルウェアを利用したフィッシングサイバー攻撃：概要と分析

1ヵ月以上前に、ウクライナ政府機関は フィッシング攻撃 に直面しました。これにより、悪意のあるファイルがメール誘引で拡散され、順次ダウンロードされてシステムを感染させ、Cobalt Strike Beaconを含む一連のマルウェアを導入するためのプログラムのセットが作成されました。これは、 デフォルトのマルウェアペイロード で、チームサーバーへの接続を作成し、高度な攻撃者を模倣するように設計されています。

Cobalt Strike Beaconは、以前にもサイバー攻撃に利用され、 CVE-2018-20250の脆弱性 in the を利用した攻撃を含んでいることが知られています。 を利用した攻撃を含んでいることが知られています。 アーカイバでの攻撃では、悪意のあるアーカイブファイルがスパムメールを通じて配信され、感染チェーンを引き起こし、悪質なスクリプトや他のペイロードを実行しました。

最近の サイバー攻撃 では、UAC-0098の脅威アクターが、Azovstalに関連した主題のフィッシングメールを通じて悪意のあるペイロードを拡散しました。問題のターゲットとなったメールには、Cobalt Strike Beaconを届け出し、被害者のコンピューターを侵害する感染チェーンに関与するXLS添付ファイルおよび悪意のあるマクロが含まれていました。適用された暗号化技術に基づき、明らかにされた活動は悪名高い ロシア関連のマルウェアギャングTrickBot. 

UAC-0098がCobalt Strike Beaconマルウェアを拡散するサイバー攻撃を検出するためのSigmaベースの行動規則

セキュリティ専門家は、Sigmaベースの検出ルールセットを使用して、UAC-0098ハッキンググループによるCobalt Strike Beaconの拡散を含むサイバー攻撃に積極的に防御できます。これはSOC Primeチームによるものです：

UAC-0098によるCobalt Strike Beaconの拡散を検出するためのSigmaルール

検出スタック全体は、関連する脅威のコンテンツ検索を容易にするために #UAC-0098 タグ付けされています。ルールにアクセスする前に、 SOC PrimeのDetection as Code プラットフォームにサインアップするか、既存のアカウントでログインしてください。

UAC-0098ハッキンググループの活動に関連する脅威を、SOC PrimeのQuick Huntモジュールを使用した前述のハンティングコンテンツを使用して検索することもできます。 SOC PrimeのQuick Hunt モジュール。

MITRE ATT&CK®コンテキスト

セキュリティ実務者は、MITRE ATT&CKフレームワークに基づき、ウクライナ国家機関に対する最新のAzovstal関連フィッシング攻撃の背後のコンテキストを詳しく調べられます。すべての専用のSigmaベースのコンテンツは、対応する戦術と技術に対処する最新のMITRE ATT&CKフレームワークv.10に整合しています：