CVE-2023-38831 検出: UAC-0057 グループが WinRAR のゼロデイを悪用し、PicassoLoader の亜種と CobaltStrike Beacon を Rabbit アルゴリズム経由で拡散

[post-views]
9月 01, 2023 · 6 分で読めます
CVE-2023-38831 検出: UAC-0057 グループが WinRAR のゼロデイを悪用し、PicassoLoader の亜種と CobaltStrike Beacon を Rabbit アルゴリズム経由で拡散

The UAC-0057 ハッキング集団、 通称GhostWriterは、2023年4月から8月にかけて野外で悪用されてきたCVE-2023-38831として追跡されるWinRARのゼロデイを悪用してサイバー脅威の舞台に再登場しています。CVE-2023-38831の成功した悪用により、攻撃者はターゲットシステムに PicassoLoader バリアントと Cobalt Strike Beacon マルウェアを感染させることができます。特筆すべきは、両方のマルウェアが2023年夏にウクライナ政府と教育セクターをターゲットにしたUAC-0057による過去の攻撃で利用されたことです。

CVE-2023-38831 分析: ウクライナに対するUAC-0057によるWinRARゼロデイ攻撃

2023年夏の最終日に、CERT-UAチームは 新しいアラートをリリースし、 ウクライナに対する進行中の攻撃を防御者に通知しました。この攻撃は UAC-0057ハッカーによって開始され、別名GhostWriterとしても知られています。最新の悪意あるキャンペーンでは、敵は CVE-2023-38831を悪用しており、これはWinRARソフトウェアのバージョン6.23より前に影響を与えるゼロデイです。この脆弱性の悪用により、脅威アクターは対応するZIPアーカイブから無害なファイルを表示しようとした際に任意のコードを実行することができます。CVE-2023-38831は、 PoCエクスプロイト がGitHubで公開されている現実のインシデントで観察されています。2023年8月には、防御者はCV-2023-38831のエクスプロイト試行の増加を観察し、世界中の証券ブローカーやトレーダーにリスクを与えています。

WinRARのセキュリティバグを利用したウクライナに対する最新のキャンペーンでは、CVE-2023-38831エクスプロイトを含むアーカイブファイルによって感染チェーンがトリガーされます。成功した悪用試行により、攻撃者はCMDファイルを実行し、その結果、LNKファイルが起動されます。後者はmshta.exeユーティリティを介してHTAファイルを実行します。これは、ロシアとウクライナの戦争に関連したファイル名のPDFルアーを生成し、さらにコンプロマイズされたインスタンスで悪意のあるJavaScriptコードを実行します。後者は PicassoLoaderの別バリアントで、UAC-0057グループがウクライナを対象に行った攻撃キャンペーンで以前に利用されており、Rabbit暗号化アルゴリズムを利用して悪意のある.NETファイルを解読するとともに、SVGルアイメージをダウンロードすることを目的としています。上記の.NETファイルは Cobalt Strike Beacon の配布につながります。

ウクライナの組織に対するUAC-0057攻撃に関連したCVE-2023-38831のエクスプロイト試行を検出する

エスカレーティングするサイバー戦争を背景に、積極的なサイバー防衛策の重要性はこれまでになく増しています。SOC Prime プラットフォームはサイバーセキュリティの専門家に高度でコスト効率の高いツールを提供し、セキュリティチームの能力を高め、SOC投資のROIを最適化します。

最新のUAC-0057キャンペーンに関連するCVE-2023-38831 WinRARの脆弱性利用の可能性を検出するため、SOC Primeの脅威検出マーケットプレイスは、キュレーションされたSigmaルールの関連セレクションを提供しています。すべての検出アルゴリズムは、CTIで強化され、 MITRE ATT&CKフレームワークにマッピングされています。さらに、これらのルールは複数のSIEM、EDR、XDR、データレイク形式に対応しており、Sigmaからネイティブ技術形式への自動変換をサポートしています。

コンテンツ検索を容易にするため、すべての検出は、グループとCERT-UAセキュリティアラート識別子に基づく「UAC-0057」および「CERT-UA#7435」などの関連識別子で分類およびタグ付けされています。最新のUAC-0057攻撃をカバーするSigmaルール全コレクションに貴重なサイバー脅威コンテキストでアクセスするには、以下の 検出を探索 ボタンを押すだけで済みます。

検出を探索

また、セキュリティ専門家は Uncoder AI、SOC Primeの拡張インテリジェンスフレームワークを利用して、最新のCERT-UAアラートで示唆された痕跡情報(IOC)に基づく即時のIOCクエリ生成により、脅威調査を加速できます。

Uncoder AIを利用して、CERT-UA#7435アラートに提供されたIoCを即座に追跡する

MITRE ATT&CKコンテキスト

SOCチームメンバーはまた、以下にまとめられた攻撃の詳細を探索できます: CERT-UA#7435アラート。以下の表に飛び込み、上記のSigmaルールにリンクされたすべての適用可能な敵対戦術、技術、およびサブ技術のリストを見つけて詳細解析を進めてください:.

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
ブログ, 最新の脅威 — 6 分で読めます
UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
Veronika Telychko
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
ブログ, 最新の脅威 — 6 分で読めます
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
Veronika Telychko
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
ブログ, 最新の脅威 — 5 分で読めます
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
Veronika Telychko