DolphinCapeマルウェア検出：イランのShahed-136ドローン使用に関連したウクライナ鉄道輸送機関「ウクライナ鉄道（Ukrzaliznytsia）」へのフィッシングキャンペーン

世界的なサイバー戦争の勃発以来、 SOC Primeは常に最前線に立ち、ウクライナとその同盟国がロシアの侵略から防御するのを支援しています。2022年12月8日、CERT-UAの研究者は、 ウクライナの国家鉄道輸送組織「Ukrzaliznytsia」のサイバーセキュリティ部門から、ウクライナの国家緊急サービスを装うフィッシングメールが配信されているとの情報を受け取りました。さらに、ハッカーは偽のドメインメールを使用して悪意のある活動を偽装しました。このサイバー攻撃で使用されたフィッシングメールは、イランのShahed-136ドローンの使用に関連したおとりを使用しました。  received information from the cybersecurity department of the state Railway Transport Organization of Ukraine “Ukrzaliznytsia” about the distribution of phishing emails impersonating the State Emergency Service of Ukraine. In addition, hackers applied a fake domain email to masquerade their malicious activity. The phishing emails used in this cyber attack applied a lure related to the use of Iranian Shahed-136 drones. 

DolphinCapeマルウェアの説明：ウクライナの国家機関に対する最新のサイバー攻撃

最新の CERT-UA#5683アラート は、ウクライナの国家鉄道輸送組織「Ukrzaliznytsia」に対するフィッシングメール攻撃を利用した新たな悪意のあるキャンペーンを詳細に記載し、UAC-0140ハッカー集団によって行われたとされています。この攻撃では、イランのShahed-136ドローンの識別方法を明らかにすると約束する件名のおとりを使ってメールを配信します。  

感染チェーンは、RARファイル内に含まれたPPSXドキュメントのあるおとり添付ファイルを開くことによって引き金が引かれます。後者はスケジュールタスクを生成するよう設計されており、さらに、PowerShellスクリプトを復号、作成、起動します。ハッカーはRC4暗号化アルゴリズムと属性値「Manager」とファイル名を連結した文字列によって作成されたキーを適用します。悪意のあるPowerShellスクリプトは、Microsoft WindowsのBITSコンポーネントを使用してDLLおよびEXEファイルをダウンロードし、後者をDLLサイドローディング技術で起動するスケジュールタスクを作成します。

DLLファイルはDelphiで開発されたDolphinCapeマルウェアとして識別されます。この悪意のあるソフトウェアは、ホスト名、ユーザー名、OSバージョンについての情報を収集し、侵害されたコンピュータから他のデータを流出させ、EXEとDLLファイルを起動し、ファイルとそのアップロードの一覧を表示します。DolphinCapeマルウェアはまた、ターゲットとされたマシンからスクリーンショットをキャプチャすることもできます。

UAC-0140によるDolphinCapeマルウェアキャンペーンの検出

複数のフィッシングキャンペーンがサイバー領域における戦争の激化とともにウクライナの重要インフラとオンライン資産を攻撃し続けています。いくつかの Armagedon APT (UAC-0010)による大規模攻撃の後、最新のCERT-UAアラートは、DolphinCapeマルウェアを利用してウクライナの輸送システムを標的とするさらなるキャンペーンを明らかにしています。ロシア支援のハッカーはしばしば、ウクライナでの戦場で悪意のあるツールとアプローチをテストし、それを世界中に展開する前に活動を拡大するため、世界中のセキュリティ実務者は対策を準備し、敵が攻撃する隙を与えないための信頼できる検出コンテンツソースが必要です。 

SOC PrimeのDetection as Codeプラットフォームは、CERT-UA#5683アラートでカバーされている関連した悪意のある活動を攻撃ライフサイクルの初期段階で識別するためのキュレーションされたSigmaルールを提供します。ここで Explore Detections ボタンを押して、専用の検出スタックにアクセスします。すべてのSigmaルールは、 MITRE ATT&CK®フレームワーク に整合しており、CTIリンク、緩和策、実行可能なバイナリ、その他の関連メタデータを含む広範なサイバー脅威コンテキストで強化されています。検出ルールは、業界をリードするSIEM、EDR、およびXDRソリューションへの変換を伴っています。

Exlpore Detections

セキュリティエンジニアはまた、CERT-UA#5683アラートでカバーされているファイル、ホスト、ネットワークIOCを使用してDolphinCapeマルウェア配布に関連する脅威をスムーズに検索できます。 Uncoder.CTI を利用することで、チームはパフォーマンス最適化されたIOCクエリを即座に生成し、選択したSIEMまたはXDR環境で関連する脅威を探すことができます。

MITRE ATT&CK®コンテキスト

ウクライナに対する最新のフィッシングキャンペーンにおいて、UAC-0140脅威アクターによるDolphinCapeマルウェア配布に関連するMITRE ATT&CKのコンテキストを探索するには、以下の表を確認してください。すべての専用SigmaルールはMITRE ATT&CKに整合され、対応する敵の戦術と技術を扱っています: