FateGrab/StealDealの検出:ウクライナ政府機関を狙うUAC-0142グループによるDELTAユーザーへのフィッシング攻撃

[post-views]
12月 19, 2022 · 6 分で読めます
FateGrab/StealDealの検出:ウクライナ政府機関を狙うUAC-0142グループによるDELTAユーザーへのフィッシング攻撃

2022年を通して、ウクライナの国家機関に対するフィッシング攻撃で多様なマルウェアが拡散されることは珍しくありませんでした。ウクライナへのフィッシングサイバー攻撃の直後に配布された DolphinCapeマルウェアが配布され、別のフィッシングキャンペーンがサイバー脅威の舞台で騒動を引き起こしています。

2022年12月18日、CERT-UAの研究者たちは、フィッシング攻撃の最新の警告を発行し、 CERT-UA#5709として追跡されているウクライナ国家機関に対するフィッシング攻撃について、特にDELTAシステムユーザーを狙ったことをサイバー防御の担当者に警告しました。この継続中のキャンペーンでは、被害者のユーザーはDELTAシステムでの証明書を更新するよう促す通知を受け取りました。DELTAシステムは戦場でのリアルタイムな状況認識のためのクラウドソリューションです。正当なダイジェストコンテンツに偽装されたPDFの誘導添付ファイルを開くと、感染の連鎖が始まり、影響を受けたシステムにFateGrab/StealDealマルウェアがさらに広がります。 

FateGrab/StealDealマルウェア分配: CERT-UA#5709がカバーするフィッシングキャンペーン分析

最新の CERT-UA#5709アラート では、ウクライナの国家軍事システムDELTAのユーザーを狙ったフィッシング攻撃の詳細が報告されています。2022年11月18日、ウクライナの国防技術革新開発センターからDELTA認証更新の偽通知をフィッシングの誘引として利用する悪意のあるキャンペーンが行われているとの通知を受けました。 

DELTA (またはDelta)は、戦場での状況認識のためのNATO基準で開発された国家的クラウドベースプラットフォームで、リアルタイムで戦場空間の包括的な理解を提供し、様々なセンサーやソースからの敵情報をデジタル地図に統合します。
進行中の攻撃者キャンペーンでは、UAC-0142として追跡された脅威アクターが、メールやメッセンジャーを介してPDF添付ファイルを拡散し、DELTAユーザーの標的システムに感染チェーンを引き起こし、FateGrab/StealDealマルウェアを配布する可能性があります。これらのPDF添付ファイルは合法的なダイジェストに偽装され、被害者を悪意のあるZIPアーカイブへのリンクをクリックするように誘導します。このリンクを開くと、 certificates_rootca.zip アーカイブがダウンロードされ、中にはVMProtectで難読化された実行ファイルが入っています。この実行ファイルを実行すると、VMProtectベースの複数のDLLファイルと、証明書インストールのプロセスをシミュレートする他の実行ファイルが作成されます。その結果、FateGrabを基にした FileInfo.dll and ftp_file_graber.dll DLLファイルとStealDealマルウェアサンプルで感染したシステムが出来上がります。後者は、複数のインターネットブラウザを利用してデータを搾取することができます。

UAC-0142の悪意のある活動の検出 

サイバー防衛者がFateGrab/StealDealマルウェアによって引き起こされた感染をタイムリーに特定し、UAC-0142グループの敵対的な活動に起因するものとして、SOC Prime Platformは専用のSigmaルールをキュレートしています。対応するカスタムタグ「UAC-0142」を基にグループが特定され、関連する検出をスムーズに検索するためにフィルタリングされています。上述のSigmaルールは、 MITRE ATT&CK® フレームワーク に整合されており、業界をリードするSIEM、EDR、およびXDRの言語形式に即座に変換可能です。 

Explore Detections 」ボタンをクリックすると、UAC-0142グループの敵対的な活動に関連するSigmaルールのキュレートリストをすぐに掘り下げることができます。セキュリティエンジニアは、MITRE ATT&CKおよびCTI参照、緩和策、関連する実行可能バイナリなどで豊富にされた理解可能なサイバー脅威のコンテキストにも洞察を得ることができ、脅威の調査にかかる時間を数秒削減します。 

Explore Detections

また、セキュリティチームは、最新のCERT-UA#5709アラートに含まれる関連するIOCを Uncoder CTIで検索することもできます。このツールを利用して、セキュリティニーズに最適化されたIOCクエリを自動生成し、SIEMまたはXDR環境でUAC-0142の悪意ある活動に起因する脅威を狩り出してください。

CERT-UA#5709アラートからのUncoder CTIのIOC

MITRE ATT&CK® コンテキスト

ウクライナDELTAユーザーをターゲットにし、FateGrab/StealDealマルウェアを拡散するUAC-0142脅威アクターの悪意のある活動に関連するMITRE ATT&CKコンテキストを探求するには、以下の表を確認してください。提供されたSigmaルールはATT&CK v12にマップされ、対応する戦術と技術に対処しています:

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 9 分で読めます 最新の脅威 Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 by Veronika Telychko AI脅威インテリジェンス 22 分で読めます SIEM & EDR AI脅威インテリジェンス by Veronika Telychko CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 11 分で読めます 最新の脅威 CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 by Veronika Telychko
すべてのニュース