UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer

[post-views]
4月 07, 2025 · 6 分で読めます
UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer

2025年3月を通じて、防御側はサイバースパイ活動の増加を観測しました。 UAC-0219 ハッキンググループがウクライナの重要セクターをターゲットにしたWRECKSTEELマルウェア。4月にはCERT-UAが新たなアラートを発表し、UAC-0226として追跡されている別のハッキング集団によるスパイ活動の新たな波を世界のサイバー防衛コミュニティに通知しました。2025年2月以来、研究者たちはGIFTEDCROOKと呼ばれる他のスティーラーを使用したグループのウクライナへの諜報活動を綿密に監視しており、その主な焦点は軍事革新拠点、武装勢力、法執行機関、地域政府機関です。

CERT-UA#14303アラートでカバーされたUAC-0226攻撃の検知

CERT-EUの年次脅威ランドスケープ報告によると、2024年には報告された事件の44%がサイバースパイや国家支援の役者に通常帰される予備配置戦術に関連しており、データの抽出と持続的かつ隠密なアクセスの確立に主眼を置いています。2025年春には、すでにCERT-UAがウクライナに対するサイバースパイ活動の増加を観測し、それは UAC-0200, UAC-0219およびUAC-0226に帰されています。最新の CERT-UA#14303 アラートは、GIFTEDCROOKスティーラーを活用したUAC-0226による進行中のサイバースパイキャンペーンに焦点を当てています。 

SOC Primeプラットフォーム では、集合的サイバー防衛に特化した検出アルゴリズムのコレクションをキュレーションし、ウクライナおよび同盟組織がCERT-UAのアドバイスに含まれるUAC-0226によるサイバースパイ攻撃を事前に防ぐのを助けます。クリック 検出を探検 して、行動可能なインテリジェンスで強化された関連するSigmaルールにアクセスし、MITRE ATT&CK®に整合し、複数のSIEM、EDR、およびデータレイクソリューションと互換性があります。  

検出を探検

セキュリティチームは、対応するタグ「CERT-UA#14303」と「UAC-0226」を使用してSOC PrimeのDetection-as-Codeライブラリで関係するコンテンツを検索し、敵対者の活動を迅速に検出できます。 
さらに、セキュリティエンジニアは Uncoder AIという脅威に基づいた検出エンジニアリングのための非エージェント型AIに依存し、CERT-UAの研究からのIOCを行動可能なハンティングクエリに自動変換し、使用中のSIEMまたはEDRインスタンスでUAC-0226攻撃をシームレスに検索できます。 

Uncoder AIを使用して、CERT-UA#14303アラートのIOCをカスタムクエリに変換し、SIEMまたはEDRでの検索準備を整えましょう。

UAC-0226攻撃分析

2025年4月6日に、CERT-UAは新しいセキュリティアドバイザリー、 CERT-UA#14303, を発表しました。これは、GIFTEDCROOKというC/C++で構築されたスティーラーを使用したウクライナに対するサイバースパイ活動に焦点を当てています。研究者たちは、2025年2月以来、UAC-0226集団に関連する進行中のサイバースパイキャンペーンを観察しており、その主なターゲットは軍事革新拠点、武装勢力、法執行機関、および特に国の東部国境付近に位置する地方行政機関です。 

感染の欠陥は フィッシング の攻撃ベクトルから始まります。これはマクロを有効にしたExcelファイル(.xlsm)を含み、地雷処理、行政罰、ドローン製造、または損害補償などの餌として一般的に使用されます。これらの文書はExcelセル内にbase64でエンコードされたペイロードを隠しており、組み込まれたマクロがコンテンツを実行可能ファイルにデコードし、ファイル拡張子なしで保存し、被害者のマシンで実行します。

2025年4月現在、この活動に関連する2つのマルウェアバリアントが特定されています。1つは公共のGitHubリポジトリPSSW100AVBからのPowerShellリバースシェルスクリプトを埋め込んだ.NETベースのツールです。もう1つはGIFTEDCROOKと呼ばれ、Chrome、Edge、およびFirefoxブラウザのデータ(クッキー、履歴、保存された認証情報)を抽出し、PowerShellのCompress-Archive cmdletを使用してアーカイブし、Telegramを介して外部へ流出させるC/C++スティーラーです。フィッシングメールは、ウェブメールを含む侵害されたアカウントから送信されているため、防御側はシステム管理者に電子メールおよびウェブサーバーログの完全性と深さを確認するよう推奨しています。

MITRE ATT&CKコンテキスト

MITRE ATT&CKを活用することで、GIFTEDCROOKスティーラーを使用してウクライナの革新ハブや政府機関をターゲットにしている最新のUAC-0226サイバースパイ活動の文脈を深く可視化できます。以下の表を見て、対応するATT&CKの戦術、技術、サブ技術に対処する専用のSigmaルールの全リストを探索してください。 

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
ブログ, 最新の脅威 — 6 分で読めます
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
Veronika Telychko
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
ブログ, 最新の脅威 — 5 分で読めます
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
Veronika Telychko
UAC-0173の活動検出:ハッカー、DARKCRYSTALRATマルウェアを使用しウクライナの公証人を標的にしたフィッシング攻撃を開始
ブログ, 最新の脅威 — 6 分で読めます
UAC-0173の活動検出:ハッカー、DARKCRYSTALRATマルウェアを使用しウクライナの公証人を標的にしたフィッシング攻撃を開始
Veronika Telychko