CredPump、HoaxPen、およびHoaxApeバックドア検出：UAC-0056ハッカーが1年以上前に計画されたウクライナ政府ウェブサイトに対する破壊的な攻撃を開始

ウクライナでの全面戦争勃発1周年を迎えるにあたり、 サイバー防衛者は、ロシアの攻撃力によるウクライナとその同盟国に対する潜在的な攻撃のリスクに対処しました。2月23日、CERT-UAのサイバーセキュリティ研究者は、に起因する悪意のある活動を明らかにしました。 UAC-0056ハッキンググループは、2022年7月にフィッシング攻撃ベクトルを利用したウクライナに対する悪意のあるキャンペーンで観察されました。この発覚した敵対者キャンペーンでは、脅威行為者は、政府のウェブサイトの整合性と可用性を脅かすことを目的として、1年以上前に配置された複数のバックドアを活用しました。

ロシア関連のUAC-0056グループによるウクライナに対する破壊的なサイバー攻撃の分析

2023年2月23日、 CISAは警告を発しました 米国および欧州の組織に対して、ロシアの侵略者による潜在的なサイバー攻撃への備えを強化するよう促しました。サイバー防衛者は、1周年を迎えるロシアのウクライナへの全面侵攻を記念する複数のウェブサイトに対する破壊的な攻撃のリスクが非常に高いと警告しました。この警告は、CERT-UAの研究者がウクライナ政府のウェブサイトに対する悪意のある破壊活動を検出し、 CERT-UA#6060警告で取り上げた直後に発表されました。

CERT-UAのサイバーセキュリティ研究者は、ウクライナ政府機関を対象とした事件を明らかにし、国家所有の情報ウェブサイトの整合性と可用性を脅かすことを目的としていたことを示しました。観察された行動パターンに基づくと、この敵対者活動はUAC-0056ハッキングコレクティブ（DEV-0586、unc2589）またはEmber Bearに起因する可能性があります。

このハッキングコレクティブは、2022年夏中旬にウクライナの国家機関に対する一連のフィッシング攻撃の背後にあり、 Cobalt Strike Beaconマルウェアを拡散していました。Ember Bearは、 ロシアの国家支援によるサイバー諜報グループとみられており、2021年3月以降にサイバー脅威の場で観察され、主にウクライナとジョーシア、またヨーロッパおよびアメリカの金融や製薬業界など複数の業種をターゲットにしています。ロシア関連のUAC-0056グループは、 WhisperGateデータ消去攻撃 の2022年初めの背後にもあるかもしれません。

2023年2月23日、研究者たちは、前夜に攻撃者によって利用されていたと観察された、侵害されたウェブリソースの1つの暗号化されたウェブシェルを明らかにしました。悪意のある活動の結果、ルートウェブカタログに新しい「index.php」ファイルが作成されました。この後者のファイルは、侵害されたウェブリソースのホームページコンテンツの変更を可能にしました。脅威行為者は、以前のアカウント不正使用とそれに伴うVPN有効の接続によって、他のハッキングされた組織の隣接デバイスに属するIPアドレスを使用してウェブシェルと通信していました。

この進行中のキャンペーンでは、攻撃者がリモートSSHアクセスを取得し、SSHベースの接続を通じて資格情報のログを有効にすることを可能にする有名なSSHバックドアCredPump（RAMモジュールとして使用）を活用しています。他にも、HoaxPenおよびHoaxApeバックドアとして知られる発見されたマルウェアストレインが、コード実行のために2022年2月に導入されており、悪意のあるキャンペーンの開始時期の1年前に使用されています。

攻撃ライフサイクルの早期段階では、脅威行為者が他のマルウェアサンプル、GOST (Go Simple Tunnel) やNgrokユーティリティを使用してHoaxPenバックドアを展開しました。特に、脅威行為者は、悪意のあるキャンペーンの開始前に対象システムへの未承認リモートアクセスを計画していました。

CERT-UA#6060警告でカバーされたUAC-0056グループの悪意のある活動の検出

CERT-UAとCISAがウクライナおよびその同盟国に対するロシア関連の進行中および潜在的な破壊活動を警告する警告を発しているため、組織と個々のユーザーはその関連する悪意のある活動から積極的に防御し、サイバー警戒を強化するための即時対策を講じるべきです。SOC PrimeのDetection as Code Platformは、悪名高いUAC-0056グループの敵対者活動を検出するためのSigmaルールのセットを整理し、 CERT-UA#6060警告にカバーされた最新のキャンペーンの背後にあります。これらの検出は MITRE ATT&CK® フレームワークv12と整合しており、27以上のSIEM、EDR、XDRソリューションに即座に変換され、組織固有の環境に展開できる準備が整っています。コンテンツ検索を円滑にするために、すべてのSigmaルールは対応するカスタムタグ「CERT-UA#6060」でフィルタリングされ、CERT-UA警告識別子に基づいています。

クリックすることで 検出を探索 ボタンを押して、ATT&CK参照やCTIリンク、緩和策、およびSigmaルールにリンクされた実行可能バイナリなどの詳細なサイバー脅威コンテキストで強化された関連検出アルゴリズムの全リストに到達します。

検出を探索

MITRE ATT&CKコンテキスト

CERT-UA#6060警告で報告された最新のUAC-0056の悪質なキャンペーンの背後にあるコンテキストを探索するために、すべての専用Sigmaルールは、自動的にATT&CKで戦術および技術に対応するタクティクスとテクニックをアドレスしています。

2022年2月24日以降、ロシアはウクライナおよびその同盟国に対して2100以上のサイバー攻撃を開始しました。その中には、UAC-0056ハッカーの最新活動のように、以前に計画されたものも含まれています。常に現在および新しいロシア関連の脅威に先んじられるようにするために、慈善ベースの #Sigma2SaveLivesサブスクリプション を利用して、ロシア国家支援のAPTグループに対抗する500以上のSigmaルールに直接アクセスし、50の検出を選択できます。サブスクリプションを取得し、その収益の100%をウクライナの防衛を支援するために寄付され、 https://my.socprime.com/pricing/.