UAC-0212攻撃検出：ウクライナの重要インフラを標的にしたUAC-0002別名Sandworm APTサブクラスターに関連するハッカーによる攻撃

2024年第1四半期に、防御者は、ウクライナの10地域にわたる重要インフラ部門の約20の組織に対する情報通信技術システム（ICT）への破壊的なサイバー攻撃を発見しました。CERT-UAはこの活動を個別の脅威クラスターとして追跡しており、 UAC-0133であり、高い確信をもって、 サンドワーム またはAPT44にリンクしているとされています。 

サンドワームAPTサブクラスターにリンクしたUAC-0212攻撃を検出する

ウクライナとその同盟国を標的とする攻撃キャンペーンの増加は、進化するサイバー脅威の状況を形成し続けており、ロシア国家支援のハッカーがウクライナを実験場として戦術を洗練させ、世界規模で展開する前に用いています。 

SOC Prime Platformは、集団的なサイバー防御のために、セキュリティ専門家に対してキュレートされた検出アルゴリズムを提供し、UAC-0212またはサンドワームやAPT44の攻撃からウクライナの重要インフラを事前に防御し、他国の組織に対する脅威となる可能性があることを最新の CERT-UA#13702 警告として示しています。「 検出を探る 」ボタンをクリックして、攻撃のタイムライン、誤検知率、監査設定の提案を含む、アクション可能なCTIと包括的なメタデータで補強された関連するSigmaルールのリストを掘り下げてください。すべての検出は、トップクラスのSIEM、EDR、データレイク技術と完全に互換性があり、クロスプラットフォームでの脅威検出を容易にします。

検出を探る

ロシアにリンクした悪名高いサイバースパイ集団に関連する悪意ある活動に対する検出コンテンツをさらに取得するには、以下のタグ（「UAC-0002」、「UAC-0133」、「サンドワーム」、「APT44」、または「シーシェル・ブリザード」）を適用して、SOC Prime Platform全体での検索を効率化してください。

組織はまた、最新のCERT-UA警告から関連するIOCを変換可能な性能最適化クエリを通じて関連するUAC-0212脅威を探索することで、侵入リスクを最小限に抑えることができます。 Uncoder AI. 

UAC-0212攻撃分析：サンドワームAPTに関連する活動 

2025年2月23日、 ロシアのウクライナ全面侵攻からの3周年の直前に、CERT-UA研究者は 新しい警告CERT-UA#13702 を発行し、UAC-0212グループに関連した侵入の危険性が高まっているとサイバー防御者に警告しました。調査によれば、2024年初頭に敵は約20のウクライナの組織に対して破壊的なサイバー攻撃を計画しており、エネルギー、水、熱供給部門に関与しています。この活動を追跡するために、研究者は専用の脅威クラスターUAC-0133を特定し、それはロシアの悪名高いGRU関連のハッキング集団として知られる（サンドワーム、APT44、UAC-0002、またはシーシェル・ブリザード）にリンクしている可能性が高いとしています。2024年春中頃、CERT-UAは予定されているサイバーサボタージュの証拠を明らかにする対応する警告を発行し、 ウクライナの重要インフラ組織のICTシステムを破壊することを目的としています。 ウクライナ全土で。 

2024年後半から、敵は異なるTTPのセットを実験しており、リンクを含むPDFドキュメントを被害者に送信しています。そのリンクをクリックすると、CVE-2024-38213の悪用と組み合わせて、侵害されたシステムにLNKファイル（「pdf.lnk」拡張子）をダウンロードさせるトリガーとなります。ファイルを実行すると、PowerShellコマンドが実行され、ダミードキュメントをダウンロードして表示するだけでなく、永続性を確保し（実行レジストリキー経由）、EXE/DLLファイルを実行します。

攻撃ツールの中で、UAC-0212グループはSECONDBEST / EMPIREPAST、SPARKマルウェア、GoLangベースのローダであるCROOKBAGを活用しています。さらに、いくつかのケースでは、RSYNCを使用して持続的にドキュメントを流出させています。

2024年夏中頃から2025年2月にかけて実施された複数の関連キャンペーンの分析に基づいて、サンドワームAPTサブクラスターはウクライナ以外にもその活動を拡大しました。たとえば、敵はセルビアやチェコでサプライヤー会社をターゲットとした攻撃を開始し、全体的に広い地理的範囲を持っています。特に、2024年8月だけで、UAC-0212は少なくとも十数のウクライナの物流会社を危険にさらしました。2025年1月から2025年2月20日までの間に、敵は穀物の乾燥、輸送、保管のための設備を設計および製造するウクライナの企業を対象とした悪意のある活動を行い、自動化されたプロセス制御システムおよび電気設備サービスを提供する25以上のウクライナ企業に対して攻撃を行いました。

初期攻撃段階で、敵は潜在的な顧客を装い、被害者とのメールのやり取りに参加し、被害者に「技術文書」として偽装された悪意のあるPDFファイルを開かせようとします。この活動はUAC-0212として追跡されており、UAC-0002のサブクラスターとみなされ、サービスプロバイダーのネットワークに侵入しようとする明確な意図を示しています。最終的な目的は、取得したデータを利用して、重要インフラや基幹サービス企業のICTシステムを脅かすことです。

防御者は、グループの侵入に伴う複雑なリスクを組織に通知します。初回侵入から数時間以内に、攻撃者はネットワーク全体を横断し、脆弱性のあるサーバー、アクティブなネットワーク機器、またはユーザーの自動化されたワークステーションに永続性を確立します。

MITRE ATT&CK®コンテキスト

MITRE ATT&CKを活用することで、UAC-0212に起因する攻撃作戦のコンテキストを詳細に可視化します。下記の表を参照して、対応するATT&CK戦術、技術、サブ技術に対応する専用Sigmaルールの完全なリストをご覧ください。