SmokeLoaderキャンペーンを検出: UAC-0006がフィッシング攻撃でウクライナの金融機関を狙い続ける

[post-views]
7月 24, 2023 · 4 分で読めます
SmokeLoaderキャンペーンを検出: UAC-0006がフィッシング攻撃でウクライナの金融機関を狙い続ける

UAC-0006 ハッキング集団 が急増しており、ウクライナの組織を積極的に標的にしています SmokeLoader マルウェア を目的とした長期にわたるキャンペーンで、最新の CERT-UA サイバーセキュリティ警告 は、ハッキンググループが3回連続して大規模なサイバー攻撃を開始し、国内の銀行システムに重大な脅威を与えていると詳述しています。

SmokeLoader 拡散を目的とした UAC-0006 フィッシングキャンペーンの解析

2023年7月中旬の UAC-0006 攻撃作戦を受けて、敵対者はウクライナの金融セクターを10日間で3度連続で攻撃し続けており、フィッシング手段を用いて SmokeLoader マルウェアを配信しています。

CERT-UA の詳細な分析によれば、最新の攻撃は特定の ZIP ポリグロットファイルの使用を含んでおり、その内容は解凍プログラムによって異なります。WinRAR を利用した場合、ZIP ポリグロットは .pdf or .docx 拡張を持ち、JavaScript ダウンローダー、SFX アーカイブ、BAT スクリプト、デコイファイルの一連を導き、被害者をウクライナ最大の銀行の一つである Privat Bank からの支払い指示に関連する財務テーマの誘惑をします。

現在、1000 台以上のデバイスがボットネットに支配されており、CERT-UA は、高い確度で敵対者が以前の攻撃から得た認証データを利用して大規模なフィッシングメールキャンペーンを実行していると述べています。

UAC-0006 の悪意のある活動がエスカレートする中、CERT-UA はリモート銀行システムを標的としたサイバー詐欺が顕著に増加すると予想しています。これらの脅威に対抗するために、防御者は wscript.exe、cscript.exe、powershell.exe、mshta.exe の使用を制限し、情報の流出をフィルタリングすることを推奨します。

CERT-UA#7065、CERT-UA#7076 警報によって詳細化された UAC-0006 による SmokeLoader キャンペーンの検出

SmokeLoader 感染を目的とする悪意のある活動を防ぐために、集団的サイバー防御のための SOC Prime プラットフォームは、UAC-0006 攻撃の検出を目的としたキュレーションされた Sigma ルールのセットを提供しています。

を押してください Explore Detections ボタンを押して、UAC-0006 集団が利用する関連する TTP をタイムリーに特定できる専用の Sigma ルールの一括セットを入手します。SOC のコンテンツ検索を効率化するために、対応するタグ “UAC-0006”、“CERT-UA#7065”、“CERT-UA#7066”、“SmokeLoader” を適用してサイバー脅威コンテキストを強化し、自動で多数の SIEM、EDR、XDR フォーマットに変換可能な検出アルゴリズムを選択してください。

Explore Detections

セキュリティエンジニアはまた、 Uncoder AI を利用して、推奨される CERT-UA#6613, CERT-UA#6757, CERT-UA#6999 警報にリストされている IOCs を検索し、選択された環境でカスタム IOC クエリを作成して実行することができます。

MITRE ATT&CK コンテキスト

サイバー防御者はまた、最新の UAC-0006 フィッシング攻撃の背景にあるコンテキストに関する洞察を得るために、下記の表を探求し、ATT&CK に基づく関連敵対者の戦術と技術のリストを提供しています:

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事