クレセントインプマルウェア検出：ロシア関連のサンドワームAPTがウクライナのメディア組織を標的に

悪名高いMicrosoft Officeのゼロデイ脆弱性として追跡されている CVE-2022-30190 通称Follinaは、世界中の複数のハッキング組織によってまだ積極的に悪用されています。2022年6月10日、CERT-UA が新しい警告を発表しました ウクライナのメディア組織を標的としたサイバー攻撃が続いていることを警告しています。脅威アクターは、最新の悪意あるメールキャンペーンでCVE-2022-30190脆弱性を利用し、CrescentImpというマルウェアの変種を配信してターゲットシステムに感染させることを目指しています。この悪意のある活動はUAC-0113として識別されています。研究者によると、これは以前にウクライナの組織へのサイバー攻撃で観察されたロシアのハッキンググループSandwormに帰結される可能性があります。

Sandworm APTグループ（別名UAC-0113）による最新の攻撃で使用されたCrescentImpマルウェアを検出する

新たに発見されたCVE-2022-30190脆弱性を悪用したサイバー攻撃は、野に解き放たれて積極的に悪用され、その規模と影響が増しています。これにより、様々な産業部門のグローバル組織に深刻なリスクを露呈しています。悪意のあるメールキャンペーンでメール添付ファイルを利用することは依然として最も一般的な攻撃ベクターの一つであり、最近のウクライナメディアセクターを標的としたサイバー攻撃で勢いを増しています。 

組織がインフラストラクチャ内でCrescentImp感染をタイムリーに特定し、関連するSandworm APTの悪意のある活動に対して積極的に防御するために、SOC Primeチームおよび Threat Bounty Program コンテンツ貢献者によって作成された包括的な検出コンテンツのリストを探ってください：

Sandworm APTグループ（UAC-0113）の悪意のある活動を検出するためのSigmaルール

All SOC Primeプラットフォームで利用可能な上記のSigmaルールは、 above available in the SOC Prime’s platform are aligned with the MITRE ATT&CK® フレームワーク に準拠しており、脅威の可視性を向上させ、業界をリードするSIEM、EDR、XDRソリューションと互換性があります。統合された検索体験のために、サイバーセキュリティ専門家は対応するタグで検出コンテンツライブラリを即座に閲覧することもできます #UAC-0113 はグループ活動に関連しています。

また、サイバー防御者は、 CERT-UA研究者によって提供されたIOCs のセットを使用してCrescentImp感染を検出することもできます。SOC Primeの Uncoder CTI モジュールを活用することで、脅威ハンターとサイバー脅威インテリジェンスの専門家は、SIEMまたはXDR環境で実行する準備が整った関連IOCsクエリを即座に生成できます。

登録済みのSOC Primeユーザーは、 Detect & Hunt ボタンをクリックすることで、CVE-2022-30190脆弱性別名Follinaの検出とハンティングコンテンツのフルリストに即座にアクセスできます。サイバー脅威アリーナの最新トレンドや、新たに公開されたSigmaルールを登録なしで利用可能です。SOC Primeのサイバー脅威検索エンジンを探索し、特定のAPT、エクスプロイト、またはCVEを関連するSigmaルールと包括的なコンテキスト情報とともに即座に検索してください。

Detect & Hunt 脅威のコンテキストを探る

CrescentImpの説明：CVE-2022-30190を使用したSandworm APT/UAC-0113に起因する攻撃分析

2022年6月初旬、グローバルなサイバー脅威アリーナはCVE-2022-30190、通称 Follinaを悪用した野に解き放たれた攻撃のニュースで沸騰していました。ウクライナへのサイバー攻撃も例外ではありませんでした。CERT-UAは最新のマルウェアキャンペーンの約2週間前に 持続するフィッシング攻撃 について警告しており、ウクライナの国家機関に対する攻撃でWindows CVE-2021-40444およびCVE-2022-30190ゼロデイの欠陥を悪用してCobalt Strike Beaconマルウェアを広めていました。

In サイバー攻撃の新しい波 CVE-2022-30190脆弱性を使用し、Sandworm APTグループに帰属する悪意のあるメールがラジオ局やニュースエージェンシーを含むメディア組織を対象として急速に拡大しています。これらのメールには魅力的な添付ファイルがあり、開かれるとHTMLファイルをダウンロードし、さらに悪意のあるJavaScriptコードを実行して、感染したシステムにCrescentImpマルウェアを配信する感染チェーンを引き起こします。CrescentImpはトロイの木馬ウイルスに属し、その起源の詳細は現在調査中です。

ウクライナの組織をターゲットにしたロシアに関連するSandwormハッキング集団の悪意のある活動は、ロシアのウクライナへの全面的な侵略以来、2022年4月に遡ります。この時期、集団は 人類史上2回目の停電サイバー攻撃 に関与しており、Industroyer2および CaddyWiper マルウェアストレインを駆使しています。

その規模や巧妙さに関係なく、常に新たな脅威に先んじるためには、 SOC PrimeのDetection as Codeプラットフォーム に参加し、強化された脅威検出とハンティングの能力から即座に価値を引き出す準備をしましょう。自身の寄付を行い、専門知識を収益化する方法をお探しですか？SOC Primeのクラウドソーシングイニシアティブに参加し、 Threat Bounty Program、脅威ハンティングスキルをどのようにして再発的な経済的利益に変えるかを実際に見てください。