CVE-2020-35730、CVE-2021-44026、CVE-2020-12641エクスプロイト検出：APT28グループ、スピアフィッシング諜報攻撃でRoundcubeの脆弱性を悪用

ウクライナおよびその同盟国を標的にするロシアのサイバー攻撃作戦が進行中であり、攻撃者は国家機関や重要インフラを代表する他の組織に対してサイバー諜報キャンペーンを継続的に展開しています。CERT-UAの研究者がサイバー諜報攻撃の急増を警告してから一週間も経たないうちに ロシア関連のShuckwormグループ、別の悪質なハッキンググループが再び登場しました。

CERT-UA は Recorded FutureのInsikt Group と共同で、悪名高いロシア政府の後援を受けた APT28ハッキンググループ の現在進行中の悪意的活動を最近明らかにしました。これはRecorded Futureのネットワークトラフィックインテリジェンスによって発見されたスピアフィッシングキャンペーンと類似しています。最新の攻撃作戦では、脆弱性の悪用を活用したスピアフィッシングメールの大量拡散が含まれています。武器化された脆弱性は、Roundcubeウェブベースのメールクライアントで発見され、CVE-2020-35730、CVE-2021-44026、CVE-2020-12641として追跡されています。

CERT-UA#6805警告で報告されたAPT28攻撃分析

CERT-UAは最近、ウクライナの公共部門組織の情報通信システムと、 APT28グループに関連する悪意のあるインフラとの間で確認されたネットワーク通信を通知されました。調査により、この悪意のあるやり取りが2023年5月12日に遡ることが確認されましたが、幸運にも感染は失敗に終わりました。

Recorded FutureのInsikt Group研究者 は、APT28による現在の作戦が、以前のBlueDeltaキャンペーンと重なることを発見しました。これは、Microsoft Outlookのゼロデイ脆弱性 CVE-2023-23397. 

を悪用しています。事件に対応して、CERT-UAチームは対応する CERT-UA#6805警告 を発表しました。これは、APT28グループがウクライナの公共部門組織の重要インフラを標的とする試みを通知します。研究では、ウクライナ戦争のニュースに関連する件名のフィッシングメールが発見され、これは nv.ua メディアソースを装った誘導記事とともに、Roundcube CVE-2020-35730脆弱性の悪用が含まれていました。また、フィッシングメールには、追加のJavaScriptファイルをダウンロードして起動することを目的とした悪意のあるJavaScriptコードが含まれていました。 q.js and e.js。後者はインボックスメールをサードパーティのアドレスに転送し、対応するHTTP POSTリクエストを介してデータを抽出するデフォルトフィルタを作成します。前者のファイルは、Roundcubeデータベースからデータを抽出するのを可能にするCVE-2021-44026として追跡されている別のRoundcube脆弱性の悪用を含んでいます。

研究はまた、別のJavaScriptコードを明らかにしました。 c.js, これはCVE-2020-12641 Roundcube脆弱性の悪用を含んでいます。脆弱性の悪用が成功すると、後者はメールサーバーでのリモートコマンドの実行を可能にします。

CERT-UAは、APT28の関連活動をウクライナの40以上の組織に類似のフィッシングメールを送り、感染を大量に拡散することを狙っていると述べていますが、Insikt Groupは、国家機関や軍事機関がこのキャンペーンの主要な標的であると特定しています。

調査によると、APT28は古いRoundcubeバージョン1.4.1を活用しようと試みました。これにより攻撃者は多数の組織を脆弱性悪用のリスクにさらすことができたのです。

ウクライナ公共部門に対するAPT28（UAC-0001/UAC-0028）サイバー攻撃の検出

APT28グループ（別名 Fancy Bear）は、ウクライナおよびその支持者に対する敵対的キャンペーンを長年進行中であり、モスクワ政府の名のもとで進行中のサイバー戦に積極的に参加しています。ウクライナの国家特別通信・情報保護サービス（SSSCIP）によると、 APT28/UAC-0028ハッキンググループ は、2022年3月、ウクライナの重要インフラに対する一連のサイバー攻撃の背後にあるとされています。APT28ハッキンググループによる他のサイバー攻撃では、脅威行為者が 欧州の政府機関や軍事組織. 

先月、CERT-UAの研究者は、ウクライナ公共部門に対するサイバー諜報および破壊的攻撃と進行するAPT28の活動の急増を報告しました。たとえば、 CERT-UA#6562警告 は、2023年4月にかけてハッキング集団がウクライナの国家機関に偽装したメールを大量に配信するためにフィッシング攻撃ベクトルを活用していることを確認しています。

APT28と関連する悪意のある活動を事前に検出するために、Roundcubeウェブベースのメールクライアントの脆弱性を活用した最新のキャンペーンを含む、SOC Prime Platformは専用のSigmaルールバンドルを提供しています。

以下の Explore Detections ボタンをクリックして、最新のAPT28キャンペーンを検出する専用のSigmaルールの完全なリストにアクセスしてください。すべてのルールは MITRE ATT&CK®フレームワークv12に整合され、詳細なサイバー脅威コンテキストを強化し、特定のセキュリティニーズに合わせた28のSIEM、EDR、およびXDRソリューションと互換性があります。また、コンテンツ検索を合理化するために、関連する検出アルゴリズムは、警告識別子に基づく“CERT-UA#6805”タグを通じて利用可能です。

Explore Detections

10年以上にわたり進行中の世界的なサイバー戦争の激化を目の当たりにし、SOC Primeチームは Threat Bounty Program のメンバーの支援を受けて、世界中の著名なAPTグループの活動を継続的に分析し、キュレーションされた検出コンテンツを作成し、国家後援の脅威に対するサイバー防御を強化するために組織を支援しています。ボタンをクリックして、APT28攻撃に関連する検出コンテンツの完全なセットにアクセスしてください。 Detect APT28 Attacks ボタン。

Detect APT28 Attacks

さらに、SecOpsチームは、CERT-UAや他のソースから提供される最新のAPT28攻撃に関連するインジケータオブコンプロマイズ（IOC）を検索することで、脅威ハンティング手順を合理化できます。 Uncoder AIの助けを借りて。ファイル、ホスト、またはネットワークのIOCをUncoderに挿入し、ターゲットクエリのコンテンツタイプを選択して、選択した環境で実行する準備が整ったパフォーマンス最適化されたIOCクエリをシームレスに作成してください。

以下から登録してください SOC Prime Platform では、振る舞いベースのSigmaルールを様々なTTPに対して装備し、高度な持続的脅威の攻撃に備えることができます。カスタマイズされたCTIで強化された世界最速のサイバーセキュリティフィードと10K以上のSigmaルールを備えた最大のレポに利益を得てください。拡張インテリジェンスの力と集団的サイバー防御に依存して、脅威ハンティングと検出エンジニアリングの努力を進めましょう。攻撃面の可視性を向上させ、常に攻撃者の一歩先を行くために見落としを特定します。