UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動

[post-views]
4月 03, 2025 · 6 分で読めます
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動

2025年3月末、CERT-UAはウクライナを標的としたサイバー諜報活動の急増を観察しました。この活動は、 UAC-0200ハッキンググループ によって指揮されており、ダーククリスタルRATを使用しています。研究者たちは最近、3月中に他に少なくとも3件のサイバー諜報攻撃が国家機関やウクライナの重要インフラ組織に対して発見され、妥協したシステムから専門のマルウェアを使用して機密情報を盗むことを目的としていることを明らかにしました。これらの攻撃はUAC-0219ハッキング集団に帰され、VBScriptとPowerShellの両方のバリエーションで観察されたWRECKSTEELマルウェアに依存しています。

CERT-UA#14283アラートでカバーされたWRECKSTEELを使用したUAC-0219攻撃を検出

Cybleの研究によれば、 フィッシング は2024年のウクライナのサイバー脅威の風景において支配的な攻撃ベクターであり続け、攻撃者は人間のエラーをエントリーポイントとして利用するために、有害なリンクや添付ファイルを含むスピアフィッシングメールを使用しました。

2025年4月初めにCERT-UAはアラートを発行しました CERT-UA#14283 は、WRECKSTEELと呼ばれる専門のPowerShellベースのスティーラーを使用したデータ盗難に焦点を当てた少なくとも3件のサイバー諜報事件を少なくとも警告しています。

SOC Primeプラットフォーム は、政府機関や重要インフラ組織を含む企業がCERT-UA#14283アラートで網羅されたUAC-0219攻撃に積極的に対抗するために、Sigmaルールの専用収集をキュレーションしています。「 検出を探索 」ボタンをクリックして、複数のクラウドネイティブおよびオンプレミスなSIEM、EDR、およびデータレイクソリューションと互換性のある、MITRE ATT&CK®に整合した包括的な脅威インテルで強化された関連する検出アルゴリズムのセットに即座にアクセスできます。

検出を探索

もしくは、セキュリティチームは直接、SOC PrimeプラットフォームのDetection-as-Codeライブラリ内でコンテンツ検索を洗練するために、対応する「UAC-0219」または”WRECKSTEEL」タグを適用することができます。

セキュリティエンジニアは、 Uncoder AI を利用してIOCのマッチングを簡素化し、レトロスペクティブな脅威ハンティングを強化することもできます。このプライベートIDEおよびAI搭載のコパイロットは、脅威に通知された検出エンジニアリングのために、関連するCERT-UAの研究からのIOCを、SIEMまたはEDR環境で使用するためのカスタムハンティングクエリにシームレスに変換します。

CERT-UA#14283アラートからIOCをハントし、UAC-0219アクターによる侵入をタイムリーに特定するためにUncoder AIを頼りにしてください。

UAC-0219攻撃分析

CERT-UAは、最新の脅威インテリジェンスを提供するために、サイバー事件データを体系的に収集し分析し続けています。2025年3月に、政府機関やウクライナの重要インフラセクターに対する少なくとも3件のサイバー攻撃が、UAC-0219ハッキンググループに関連するサイバーベクトルで観察されました。敵対者は主にファイルの流出用に設計されたVBScriptとPowerShellの両方のバリエーションで利用可能なWRECKSTEELマルウェアに依存しました。

この最新のキャンペーンでは、対応する CERT-UA#14283の警報で、グループは侵害されたアカウントを利用して、DropMeFilesやGoogle Driveなどの公開ファイル共有サービスへのリンクを含むフィッシングメールを配信しました。いくつかのケースでは、これらのリンクはPDFの添付ファイル内に埋め込まれていました。これらのリンクをクリックすると、VBScriptローダー(通常は.js拡張子を持つ)のダウンロードと実行がトリガーされ、その後PowerShellスクリプトを実行しました。このスクリプトは、特定の拡張子(.doc、.txt、.xls、.pdfなど)のファイルを探索し流出させ、cURLを使用してスクリーンショットを取得するように設計されています。

分析によれば、この悪意ある活動は少なくとも2024年の秋から続いているとされています。以前には、脅威アクターはNSISインストーラで作成されたEXEファイルを展開しており、これには偽装ドキュメント(PDF、JPG)、VBScriptベースのスティーラー、およびスクリーンショットを撮影するための画像ビューア「IrfanView」が含まれていました。しかし、2025年以来、スクリーンショットを取得する機能はPowerShellに統合されています。

MITRE ATT&CK®コンテキスト

MITRE ATT&CKを活用することで、ウクライナの国家機関と重要インフラ組織を標的とした最新のUAC-0219サイバー諜報作戦のコンテキストに深い可視性を提供します。以下の表を参照して、対応するATT&CK戦術、技術、サブ技術に対応する専用のSigmaルールの完全なリストを確認してください。

Tactics 

Techniques

Sigma Rule

Execution

Command and Scripting Interpreter: PowerShell (T1059.001)

Command and Scripting Interpreter: Visual Basic (T1059.005)

Command and Scripting Interpreter: JavaScript (T1059.007)

Defense Evasion

Masquerading: Double File Extension (T1036.007)

Hide Artifacts: Hidden Window (T1564.003)

Discovery

System Network Configuration Discovery (T1016)

System Information Discovery (T1082)

Collection

Screen Capture (T1113)

Command and Control

Application Layer Protocol: Web Protocols (T1071.001)

Ingress Tool Transfer (T1105)

Exfiltration

Exfiltration Over Web Services (T1567)

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
ブログ, 最新の脅威 — 6 分で読めます
UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
Veronika Telychko
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
ブログ, 最新の脅威 — 5 分で読めます
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
Veronika Telychko
UAC-0173の活動検出:ハッカー、DARKCRYSTALRATマルウェアを使用しウクライナの公証人を標的にしたフィッシング攻撃を開始
ブログ, 最新の脅威 — 6 分で読めます
UAC-0173の活動検出:ハッカー、DARKCRYSTALRATマルウェアを使用しウクライナの公証人を標的にしたフィッシング攻撃を開始
Veronika Telychko