UAC-0173の活動検出:ハッカー、DARKCRYSTALRATマルウェアを使用しウクライナの公証人を標的にしたフィッシング攻撃を開始

[post-views]
2月 26, 2025 · 6 分で読めます
UAC-0173の活動検出:ハッカー、DARKCRYSTALRATマルウェアを使用しウクライナの公証人を標的にしたフィッシング攻撃を開始

調査の結果としての UAC-0212の活動の増加 ウクライナの重要インフラセクターの複数の組織に対する CERT-UAは通知します ウクライナのサイバー脅威の場で再出現する別のハッキンググループについて、グローバルなサイバーディフェンダーコミュニティに。組織化された犯罪グループである UAC-0173 は、ウクライナ司法省の代表を装う送信者になりすますフィッシング攻撃を公証人に対して行っています。 

CERT-UA#13738アラートでカバーされたUAC-0173攻撃を検出する

フィッシング 攻撃は現代のサイバー脅威の風景において依然として80%以上のセキュリティイベントを占めています。ウクライナの組織を狙った悪意のある活動の急増もあり、初期アクセスを得るためにフィッシング攻撃経路を利用しています。

共同サイバーディフェンスのためのSOC Prime Platformは、最新のCERT-UA#13738アラートでカバーされているウクライナの公証人に対するUAC-0173攻撃を積極的に阻止するために、キュレーションされたシグマルールを提供します。クリックしてください 検出を探索する で、MITRE ATT&CK®にマッピングされ、詳細な脅威情報で強化された、数十のSIEM、EDR、データレイクソリューションに互換性のある関連するシグマルールを見つけてください。 

検出を探索する

組織はまた、「UAC-0173」タグを基にグループ識別子を割り当てることで、SOC Prime Platformで脅威アクターの攻撃的作戦に関連するさらなる検出コンテンツを検索することができます。 

SOC Prime Platformのユーザーは、また Uncoder AI を使用してIOCマッチングを加速し、守備側が過去のハントを実行するのを支援できます。プライベートIDEとAIコパイロットは、関連するCERT-UAレポートからのUAC-0173活動に関連するIOCをカスタムクエリに変換し、SIEMまたはEDR環境で潜在的な脅威を検索するのに準備が整った状態にします。 

CERT-UA#13738アラートでカバーされているUAC-0173活動に関連するIOCをハントするためにUcoder AIを使用してください。

UAC-0173攻撃分析

2025年2月25日に、 CERT-UAは新しいCERT-UA#13738を発表しました UAC-0173ハッキンググループの活動増加に焦点を当てた。このグループは、国家レジストリに無許可の変更を後日行うために、隠密のリモートアクセスを得ることを目的に公証人のコンピュータを標的にするサイバー攻撃を行っています。

特に、2023年の夏には、敵対者は同様のターゲットと攻撃手法を選び、 ウクライナの司法機関と公証人 を対象に、公式文書を装った悪意のある添付ファイルを含む大量のメール配信を通じて

2025年2月11日には、ウクライナ司法省の地方支部を装ったフィッシングメールの別のラウンドが送信されました。これらのメールには、コンピュータに DARKCRYSTALRAT (DCRAT)マルウェアを実行時に感染させることを狙った実行ファイルをダウンロードするリンクが含まれていました。 

公証人の作業環境に初期アクセスを得た後、攻撃者は追加のツールをインストールし、この構成はRDPWRAPPERを含み、並行した RDP セッションを可能にします。BOREユーティリティと組み合わせて使用することで、インターネットから侵害されたコンピュータへのRDP接続を直接確立できます。

また、UAC-0173は、ユーザーアカウント制御を回避する検出回避ユーティリティを活用し、NMAPネットワークスキャナー、FIDDLERプロキシ/スニファーのようなツールを使って国家のレジストリWebインタフェースへの入力された認証データを捕捉し、XWORMキーロガーで資格情報を盗みます。いくつかのケースでは、公開されたコンピュータは後にSENDEMAILコンソールユーティリティを通じた悪意のあるメールの生成と送信に使用されました。 

増大する脅威に対応して、CERT-UAはパートナーとともに、感染したコンピュータを迅速に特定し、未承認の公証行為の最終段階でも攻撃者の意図を阻止するためのサイバーセキュリティ対策を迅速に実施しました。これを活用することにより、 SOC Primeのプラットフォーム の共同サイバーディフェンスにより、洗練されたハッキンググループに関連した新たな脅威に先んじて、攻撃面を大幅に削減することができます。  

MITRE ATT&CK コンテキスト

MITRE ATT&CKを活用することで、UAC-0173のウクライナ公証人を狙ったDARKCRYSTALマルウェアを使用した最新のオペレーションのコンテキストを詳細に把握できます。以下のテーブルを確認して、対応するATT&CKの戦術、技術、サブ技術に対応する専用のシグマルールの完全なリストを確認してください。 

Tactics 

Techniques

Sigma Rule

Execution

Command and Scripting Interpreter: PowerShell (T1059.001)

Command and Scripting Interpreter: Windows Command Shell (T1059.003)

Command and Scripting Interpreter: Python (T1059.006)

Persistence

Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (T1547.001)

Defense Evasion

Masquerading (T1036)

Masquerading: Match Legitimate Name or Location (T1036.005)

Process Injection: Process Hollowing  (T1055.012)

Impair Defenses: Disable or Modify Tools (T1562.001)

Hide Artifacts (T1564)

Hide Artifacts: Hidden Window (T1564.003)

System Binary Proxy Execution (T1218)

System Binary Proxy Execution: Mshta (T1218.005)

Discovery

Network Service Discovery (T1046)

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
ブログ, 最新の脅威 — 6 分で読めます
UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
Veronika Telychko
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
ブログ, 最新の脅威 — 6 分で読めます
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
Veronika Telychko
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
ブログ, 最新の脅威 — 5 分で読めます
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
Veronika Telychko