DarkCrystal RATマルウェア検出：UAC-0145ハッカーは非ライセンス版Microsoft Officeソフトウェアを初期攻撃手段として悪用

2022年にウクライナに対するサイバー攻撃が250%急増し、そのうち2,000件以上が ロシア関連の脅威アクターによって開始されました 全面的な戦争の開始以来、サイバー防御者たちはウクライナとその同盟国がサイバー強靭性を高める方法を模索しています。

2023年4月3日、 CERT-UAは新しい警告を発しました 観察された悪意ある活動について、その情報と通信技術への不正アクセスを含むウクライナの公益企業の1つに対するサイバー事故への対応として、CERT-UAは直ちにデジタルフォレンジック調査を行い、感染チェーンがライセンスのないMicrosoft Office 2019ソフトウェアのインストールによって引き起こされ、脅威アクターが DarkCrystal RATマルウェア を侵害されたシステムに展開していることを明らかにしました。追跡された攻撃者の活動はUAC-0145ハッキンググループに帰属されています。

UAC-0145グループによるDarkCrystal RAT拡散の検出

ウクライナを標的とする最新のサイバー事件において、UAC-0145ハッキングコレクティブによるDarkCrystal RATマルウェア拡散に関連する悪意ある活動を迅速に特定するために、SOC Primeプラットフォームは関連するシグマルールのセットをキュレートします。すべての検出アルゴリズムは、対応するカスタムタグ「CERT-UA#6322」と「UAC-0145」によってフィルタリングされており、SOCコンテンツの選択を合理化するためにCERT-UAの警告とグループ識別子に基づいています。

クリックして 検出を探索 ボタンを押して、 MITRE ATT&CK®フレームワークv12 に整合し、詳細なサイバー脅威コンテキストで強化された専用のシグマルールの全コレクションにアクセスします。CERT-UA#6322警告でカバーされた悪意ある活動を検出するためのシグマルールは、27以上のSIEM、EDR、XDRソリューションに対応しており、特定のセキュリティニーズに適合します。 CERT-UA#6322 alert are compatible with 27+ SIEM, EDR, and XDR solutions to fit particular security needs.

検出を探索

セキュリティエンジニアは、SOC Primeの Uncoder AIツールを通じて、選択されたSIEMまたはEDR環境で最新のCERT-UA#6322警告に関連するファイル、ホスト、ネットワークIOCを即座にハンティングすることによって、IOCのマッチングを自動化することもできます。

ライセンスのないMicrosoft Officeを初期妥協ベクトルとして使用したUAC-0145による攻撃分析

新しい CERT-UA#6322 alert 詳細は、ウクライナの公益組織を標的とする最近のサイバー事件において、初期攻撃ベクトルとして使用されたライセンスのないMicrosoft Officeソフトウェアの悪用について詳述しています。調査によれば、CERT-UAの研究者は、初期の妥協が2023年3月19日に、対象システムにライセンスのないMicrosoft Office 2019バージョンがインストールされたことによって発生したことを明らかにしました。ソフトウェアは、悪意のある実行ファイルと共に公開BitTorrentトラッカーからダウンロードされました。そして実行されると、後者はBase64形式からのXOR復号とデコードを引き起こし、悪意のある実行ファイルを作成し実行し、DarkCrystal RATマルウェアと特定されます。これがMicrosoft Office 2019のインストールを開始し、感染をさらに広げます。DarkCrystal RATは自身を複製し、侵害されたシステム上で20バージョンまで作成することができ、Windowsレジストリの“Run”ブランチに対応するキーを追加し、WMIを通じてスケジュールされたタスクを作成します。 DarkCrystal RATマルウェア in the recent cyber incident targeting the Ukrainian utility organization. According to the investigation, CERT-UA researchers revealed that the initial compromise took place on March 19, 2023, due to the installation of the unlicensed Microsoft Office 2019 version on the targeted systems. The software was downloaded from the public BitTorrent tracker along with the malicious executable file. Once launched, the latter leads to XOR decryption and decoding from the Base64 format, creating and running the malicious executable file identified as DarkCrystal RAT malware, which initiates the installation of Microsoft Office 2019 and spreads the infection further. DarkCrystal RAT is capable of duplicating itself and creating up to 20 versions on the compromised system, as well as adding the corresponding keys in the “Run” branch of the Windows registry and creating scheduled tasks via WMI. 

2023年3月20日、脅威アクターは、すでにインストールされたDarkCrystal RATマルウェアを利用して、Pythonインタープリターv. 2.7.18、リモートアクセスソフトウェアDWAgent、およびターゲットコンピュータ上でDWAgentツールを実行するための別の実行ファイルをダウンロードしました。DarkCrystal RATとDWAgentリモートアクセスユーティリティのインストールの結果、脅威アクターはターゲット組織の環境に不正にアクセスすることに成功しました。

CERT-UAによれば、敵対者は以前の悪意あるキャンペーンでこの初期の妥協ベクトルを利用しました。Microsoft Office製品を悪用することに加え、感染チェーンは非公式のウェブリソースからのOS更新やパスワード回復ユーティリティやマルウェアスキャナーツールなどのソフトウェアタイプをダウンロードすることによっても引き起こされる可能性があります。このようなサイバー攻撃のリスクを軽減するために、組織はサイバーセキュリティ意識を高め、公式のソースを使用してソフトウェアをインストールおよび更新すべきです。

MITRE ATT&CK® コンテキスト

CERT-UA#6322警告にカバーされた3月のサイバー事件の背景を探るために、すべての関連するシグマルールはMITRE ATT&CKの対応する戦術と技術に整合しています。