CVE-2021-40444とCVE-2022-30190のエクスプロイト検出：ウクライナ国家機関へのサイバー攻撃で配信されたCobalt Strikeビーコン

悪名高いCVE-2022-30190こと Follinaが公開されたわずか2日後、セキュリティ研究者はウクライナの国家機関を標的とした攻撃が野外で行われていることを報告しました。2022年6月2日、 CERT-UA は、 Cobalt Strike Beaconマルウェア を広める継続的なキャンペーンの警告を発行しました。

Cobalt Strike Beaconを配信するためのCVE-2021-40444およびCVE-2022-30190の悪用：フィッシング攻撃分析

Cobalt Strike Beaconマルウェアが再びウクライナを標的に現れます。今回は国家規模の攻撃者が新たな Follinaゼロデイ（CVE-2022-30190） および悪名高い Microsoft MSHTMLの欠陥（CVE-2021-40444） を利用してウクライナ政府に対する攻撃を続行し、Cobalt Strike Beaconローダーを関心のあるシステムに展開します。

ウクライナのコンピュータ緊急対応チームによって発見された最新のサイバー攻撃は、DOCXファイルを添付したフィッシングメールから始まります。ドキュメントには、JavaScriptコードが埋め込まれたHTMLファイルに無警戒な被害者をリダイレクトする悪意のあるURLが含まれています。実行されると、CVE-2021-40444およびCVE-2022-30190の脆弱性が悪用され、PowerShellコマンドを起動し、EXEファイルをダウンロードし、標的インスタンスにCobalt Strike Beaconマルウェアを感染させます。

Cobalt Strike Beaconマルウェアは、ウクライナ政府を対象にしたキャンペーンで国家支援のアクターによって頻繁に使用されています。 CERT-UAの専門家は、2022年3月から6月にかけてこのタイプのマルウェアを配信する複数の侵入を強調しました。

最新のフィッシングキャンペーンでCobalt Strike Beaconを検出するためのシグマルール

最近明らかになったFollinaゼロデイ（CVE-2022-30190）を利用したサイバー攻撃は、攻撃部分が新たなセキュリティギャップに組み込まれるスピードが加速していることを示しています。新しいエクスプロイトがキルチェーンに組み込まれるまで数時間しかかからないため、セキュリティの実行者はデータの交換と新しい課題への対処に素早く行動する必要があります。

CVE-2021-40444を悪用する攻撃に積極的に抵抗するために、CVE-2022-30190ゼロデイの脆弱性を利用するには、協力的なサイバーディフェンスの力に介入し、SOC Primeプラットフォームで利用可能な専用のSigmaルールセットをダウンロードしてください。関連する脆弱性の検出アルゴリズムは、 #CVE-2021-40444 and #CVE-2022-30190 としてそれぞれタグ付けされています。これらの検出ルールにアクセスするために、SOC Primeプラットフォームにログインまたはサインアップを必ず行ってください：

CVE-2022-30190の悪用試行を検出するためのシグマルール

CVE-2021-40444の悪用試行を検出するためのシグマルール

ウクライナ政府に対する最新のキャンペーンに関連する悪意のある活動を検出することを目的とした、選りすぐりの脅威ハンティングクエリ群をサイバー防御者は入手できます。以下のリンクに従って、関連する CERT-UA#4753 アラートのカスタムタグに一致する専用のハンティングコンテンツを活用してください。

CERT-UAアラート#4753で取り上げられたウクライナを標的とした脅威を検索するためのハンティングコンテンツ

脅威の調査を強化するために、セキュリティ実務者は、SOC Primeの クイックハントモジュール. 

MITRE ATT&CK®コンテキスト

ウクライナ政府の当局者に対して広がるCobalt Strike Beaconを伴う最新のフィッシングサイバー攻撃のコンテキストへの洞察を得るために、上記のSigmaルールはATT&CKフレームワークに準拠し、関連する戦術と技術に対処しています：