UAC-0200攻撃検出：DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動

The UAC-0200 ハッキンググループがサイバー脅威のアリーナに再浮上。CERT-UAは最近、防衛産業企業の従業員やウクライナ軍の個々のメンバーを対象としたサイバー攻撃の急増を確認しました。 DarkCrystal RAT (DCRAT)。

CERT-UA#14045アラートに取り上げられたUAC-0200攻撃を検出

最新の UAC-0173 の攻撃で DARKCRYSTAL RAT がウクライナの公証人に対して使用され、別の脅威アクター – UAC-0200識別子として追跡されています – がこのマルウェアを用いて、今度はウクライナ軍をターゲットにしています。

SOC Prime プラットフォームに登録 し、サイバー防御者がUAC-0200攻撃を事前に食い止めるのを助けるSigmaルールの精選セットにアクセスしてください。 CERT-UA#14045 アラート。クリックして 検出を探索 して、数十のSIEM、EDR、データレイクソリューションと互換性があり、MITRE ATT&CK®にマッピングされ、詳細な脅威インテリジェンスで強化された関連検出アルゴリズムのコレクションをすぐに掘り下げることができます。

検出を探索

セキュリティ専門家は、また「UAC-0200」と「CERT-UA#14045」タグを適用し、SOC Prime プラットフォームをより正確なフィルタリングで検索することにより、脅威アクターの攻撃活動に関連する追加の検出コンテンツを見つけるのを助けることができます。

SOC Prime プラットフォームのユーザーは、 Uncoder AI を使用して、IOCマッチングを加速し、防御者がレトロスペクティブハントを行うのを支援できます。検出エンジニアリング用のプライベートIDEおよびAIコパイロットにより、関連するCERT-UAレポートからUAC-0200活動に関連するIOCをカスタムクエリに変換し、SIEMやEDR環境で潜在的な脅威を検索する準備ができます。

DarkCrystal RATを使用したUAC-0200活動分析

2025年3月18日、CERT-UAは新しいアラートを発表しました。 CERT-UA#14045、 防衛産業セクター組織およびウクライナ軍の個々のメンバーに対するサイバースパイ活動の増加を防御者に警告しています。

2025年初春、会議の報告書を含むと主張するアーカイブ付きメッセージがSignalメッセンジャーを介して配信されていることが発見されました。一部のケースでは、受信者リストに既に登録されているコンタクトのアカウントが乗っ取られ、被害者がそれを開くように誘導されました。後者には通常、PDFファイルと、DarkTortillaとして分類される実行可能ファイルが含まれており、これは（注入も通じて） Dark Crystal RAT (DCRAT) リモートコントロールツールを復号および起動するためのローダーです。

UAC-0200ハッキング集団は、少なくとも2024年夏以来、ウクライナに対して標的型サイバー攻撃に関連しています。特に、 2024年6月初旬に、敵が政府機関、軍事、そして防衛機関をターゲットにした別のキャンペーンで似たような攻撃ツールを使用しました。また、Signalメッセンジャーを武器として使用してDarkCrystal RATマルウェアを拡散しました。2025年2月以来、そのような誘導メッセージの内容は、無人航空機（UAV）、電子戦システム、およびさまざまな防衛および軍事関連のトピックに焦点を当てています。

人気のメッセンジャーの使用は、モバイルデバイスおよびコンピュータの両方で、セキュリティ対策を回避する無制御の通信チャネルを作成するなど、攻撃対象を著しく拡大し、超迅速な対応を防御者に要求します。 SOC Prime プラットフォームを活用することで 、複数の業界ベクトルにわたる組織が、さまざまな検出回避技術に依存して洗練された攻撃から積極的に防御し、サイバーセキュリティ体制を強化することができます。

MITRE ATT&CK®コンテキスト

MITRE ATT&CKを活用することにより、防衛産業セクターおよびウクライナ軍をターゲットにした最新のUAC-0200サイバースパイ作戦のコンテキストを深く把握できます。以下の表を参照して、対応するATT&CK戦術、技術、およびサブ技術に対応する専用のSigmaルールの完全なリストを確認してください。