フォローする 
2025年3月末、CERT-UAはウクライナを標的としたサイバー諜報活動の急増を観察しました。この活動は、 UAC-0200ハッキンググループ によって指揮されており、ダーククリスタルRATを使用しています。研究者たちは最近、3月中に他に少なくとも3件のサイバー諜報攻撃が国家機関やウクライナの重要インフラ組織に対して発見され、妥協したシステムから専門のマルウェアを使用して機密情報を盗むことを目的としていることを明らかにしました。これらの攻撃はUAC-0219ハッキング集団に帰され、VBScriptとPowerShellの両方のバリエーションで観察されたWRECKSTEELマルウェアに依存しています。
CERT-UA#14283アラートでカバーされたWRECKSTEELを使用したUAC-0219攻撃を検出
Cybleの研究によれば、 フィッシング は2024年のウクライナのサイバー脅威の風景において支配的な攻撃ベクターであり続け、攻撃者は人間のエラーをエントリーポイントとして利用するために、有害なリンクや添付ファイルを含むスピアフィッシングメールを使用しました。
2025年4月初めにCERT-UAはアラートを発行しました CERT-UA#14283 は、WRECKSTEELと呼ばれる専門のPowerShellベースのスティーラーを使用したデータ盗難に焦点を当てた少なくとも3件のサイバー諜報事件を少なくとも警告しています。
SOC Primeプラットフォーム は、政府機関や重要インフラ組織を含む企業がCERT-UA#14283アラートで網羅されたUAC-0219攻撃に積極的に対抗するために、Sigmaルールの専用収集をキュレーションしています。「 検出を探索 」ボタンをクリックして、複数のクラウドネイティブおよびオンプレミスなSIEM、EDR、およびデータレイクソリューションと互換性のある、MITRE ATT&CK®に整合した包括的な脅威インテルで強化された関連する検出アルゴリズムのセットに即座にアクセスできます。
もしくは、セキュリティチームは直接、SOC PrimeプラットフォームのDetection-as-Codeライブラリ内でコンテンツ検索を洗練するために、対応する「UAC-0219」または”WRECKSTEEL」タグを適用することができます。
セキュリティエンジニアは、 Uncoder AI を利用してIOCのマッチングを簡素化し、レトロスペクティブな脅威ハンティングを強化することもできます。このプライベートIDEおよびAI搭載のコパイロットは、脅威に通知された検出エンジニアリングのために、関連するCERT-UAの研究からのIOCを、SIEMまたはEDR環境で使用するためのカスタムハンティングクエリにシームレスに変換します。
UAC-0219攻撃分析
CERT-UAは、最新の脅威インテリジェンスを提供するために、サイバー事件データを体系的に収集し分析し続けています。2025年3月に、政府機関やウクライナの重要インフラセクターに対する少なくとも3件のサイバー攻撃が、UAC-0219ハッキンググループに関連するサイバーベクトルで観察されました。敵対者は主にファイルの流出用に設計されたVBScriptとPowerShellの両方のバリエーションで利用可能なWRECKSTEELマルウェアに依存しました。
この最新のキャンペーンでは、対応する CERT-UA#14283の警報で、グループは侵害されたアカウントを利用して、DropMeFilesやGoogle Driveなどの公開ファイル共有サービスへのリンクを含むフィッシングメールを配信しました。いくつかのケースでは、これらのリンクはPDFの添付ファイル内に埋め込まれていました。これらのリンクをクリックすると、VBScriptローダー(通常は.js拡張子を持つ)のダウンロードと実行がトリガーされ、その後PowerShellスクリプトを実行しました。このスクリプトは、特定の拡張子(.doc、.txt、.xls、.pdfなど)のファイルを探索し流出させ、cURLを使用してスクリーンショットを取得するように設計されています。
分析によれば、この悪意ある活動は少なくとも2024年の秋から続いているとされています。以前には、脅威アクターはNSISインストーラで作成されたEXEファイルを展開しており、これには偽装ドキュメント(PDF、JPG)、VBScriptベースのスティーラー、およびスクリーンショットを撮影するための画像ビューア「IrfanView」が含まれていました。しかし、2025年以来、スクリーンショットを取得する機能はPowerShellに統合されています。
MITRE ATT&CK®コンテキスト
MITRE ATT&CKを活用することで、ウクライナの国家機関と重要インフラ組織を標的とした最新のUAC-0219サイバー諜報作戦のコンテキストに深い可視性を提供します。以下の表を参照して、対応するATT&CK戦術、技術、サブ技術に対応する専用のSigmaルールの完全なリストを確認してください。
Tactics | Techniques | Sigma Rule |
Execution | Command and Scripting Interpreter: PowerShell (T1059.001) | |
Command and Scripting Interpreter: Visual Basic (T1059.005) | ||
Command and Scripting Interpreter: JavaScript (T1059.007) | ||
Defense Evasion | Masquerading: Double File Extension (T1036.007) | |
Hide Artifacts: Hidden Window (T1564.003) | ||
Discovery | System Network Configuration Discovery (T1016) | |
System Information Discovery (T1082) | ||
Collection | Screen Capture (T1113) | |
Command and Control | Application Layer Protocol: Web Protocols (T1071.001) | |
Ingress Tool Transfer (T1105) | ||
Exfiltration | Exfiltration Over Web Services (T1567) |
