CredoMapとCobalt Strike Beaconの検出：APT28グループとUAC-0098脅威アクターが再びウクライナの組織を攻撃

2022年6月20日、CERT-UAは、ウクライナの組織に対する新たなサイバー攻撃の波について、悪意のあるゼロデイ脆弱性がフィールドで実際に悪用されていることを警告する2つの別個のアラートを発表し、 CVE-2022-30190 aka Follinaに関連して追跡される脅威について注意喚起しました。 CERT-UA#4842 アラートでは、UAC-0098と識別されたハッキンググループによる悪意のある活動が示されており、 Cobalt Strike Beacon マルウェアの拡散が記録されました。 もう一つのアラートである CERT-UA#4843 は、悪名高いロシア支援のハッキング集団 APT28 （UAC-0028とも呼ばれる）による悪意のある活動に起因するCredoMapマルウェアの配信を強調しています。

ウクライナで観測されたAPT28とUAC-0098の悪意のある活動を検出する

CERT-UA#4842およびCERT-UA#4843アラートでカバーされた悪意のある活動に対してサイバーセキュリティの実務者が積極的に防御できるようにするために、SOC PrimeのDetection as Codeプラットフォームは専用の Sigmaルールの一式を提供しています。コンテンツ検索を円滑化するために、すべての検出アルゴリズムは、関連する攻撃に関連付けられた敵の活動に基づいて、または #UAC-0098のような対応するCERT-UAのアラート識別に基づいてタグ付けされています。SOC Primeのユーザーは、現在のアカウントでプラットフォームにログインするか、新しいアカウントを作成してアクティベートして、専用のルールキットにアクセスすることを推奨されます。 CERT-UA#4843UAC-0098グループの最近の攻撃を含む悪意のある活動を検出するためのSigmaルール、CERT-UA#4842アラートでカバーされた最近の攻撃も含む

Sigmaルール、CERT-UA#4843アラートでカバーされた悪意のある活動を検出するためのSigmaルール

上記参照のSOCコンテンツアイテムは、対応するタグでフィルターされており、

All the above-referenced SOC content items filtered by the corresponding tags are aligned with the MITRE ATT&CK®フレームワーク に準拠しており、業界をリードするSIEM、EDR、XDRソリューションと互換性があり、チームが独自の脅威プロファイルと環境のニーズに対応するための検出およびハンティング機能を適応させるのに役立ちます。

また、下記では、APT28ハッキング集団（UAC-0028とも識別される）の悪意のある活動を検出するためのSigmaベースのルールの広範なリストをご覧いただけます。この集団は、ウクライナに対する過去のフィッシング攻撃に加えて、 CredoMapマルウェアを拡散する最近のキャンペーンで確認されています。

APT28/UAC-0028の悪意のある活動を検出するためのSigmaルール

CVE-2022-30190の脆弱性の悪用検出の包括的なSigmaルールのリストにアクセスするには、登録ユーザーが「 検出＆ハント 」ボタンをクリックして専用の検出スタックにすぐに掘り下げることができます。サイバーセキュリティの専門家は、登録しなくてもSOC Primeを閲覧し、サイバー脅威の最新の動向を即座に探ることができ、新たにリリースされたSigmaルールにアクセスして、関連するコンテキスト情報の洞察を得ることができます。

検出＆ハント 脅威のコンテキストを探る

CredoMapとCobalt Strike Beaconマルウェア配信：ウクライナに対する最新の攻撃の概要

2022年6月、サイバーセキュリティの研究者は継続的な フィールドでの攻撃hを観測しました。 ウクライナ政府機関を標的にしたWindowsのCVE-2022-30190ゼロデイ脆弱性を悪用し、Cobalt Strike Beaconマルウェアを拡散します。ウクライナ組織を標的とした最近の悪意のあるキャンペーンでは、APT28とUAC-0098の脅威アクターがCVE-2022-30190の悪用を継続しており、引き付けとなる添付ファイルを使用した類似の攻撃ベクトルを適用して、Cobalt Strike BeaconとCredoMapマルウェアサンプルを配信しようとしています。

上記のCERT-UAアラートで取り上げられた最新の攻撃で使用された両方のマルウェア株は、 継続中のグローバルサイバー戦争 の間、フィッシング攻撃ベクトルを代表し、サイバーセキュリティの研究者の注目を集めています。今年の初めには、2022年4月に、UAC-0098（ TrickBot としても知られる）ハッキングコレクティブが、ウクライナの公務員を標的にしたフィッシングキャンペーンでCobalt Strike Beaconを拡散していることがわかり、 Azovstalに関連する電子メールを利用していました。ロシアと関係するAPT-28グループ、 UAC-0028としても知られているが以前から行っていたフィッシングキャンペーンによると、2022年3月にウクライナの国家機関に対するサイバー攻撃の背後にいることが確認され、CredoMapマルウェアの更新版 CredoMap_v2を活用しました。

最新のキャンペーンでは、 CERT-UA#4842 and CERT-UA#4843 アラートで強調されるように、攻撃者は感染チェーンを引き起こし、HTMLファイルのダウンロードにつながる誘導文書を利用し、その後のマルウェア拡散をさらに進めるJavaScriptコードを実行しました。UAC-0098グループに帰属するサイバー攻撃では、誘導DOCXファイルがウクライナ国家税務サービスとして偽装したメールスプーフィングを通じて配信された。

近代的なサイバー脅威のランドスケープを形成している攻撃ボリュームが増加している中で、サイバーセキュリティの専門家は常に高度なサイバー防御能力を探しており、脅威調査の効率を高める新しい方法を求めています。 SOC PrimeのDetection as Codeプラットフォーム は、共同サイバー防御の力を利用して、グローバルな組織が脅威検出を強化し、これまで以上に効率的に脅威ハンティングの速度を加速できるようにします。さらに、独自の検出ルールを作成することに熱心な個々のサイバーセキュリティ専門家は、 Threat Bounty Program に参加し、彼らのコンテンツ貢献がどのようにより安全な未来の構築に役立っているかを実際に見る素晴らしい機会を得ることができます。