ウルサ（APT28）攻撃検出との戦い：外交官を標的にした敵対者がフィッシングの餌として車の販売を利用し、HeadLaceマルウェアを拡散

悪質なロシア国支援の APT28ハッキング集団、 別名Fighting Ursaとして知られるこの集団が注目されています。2024年初春以来、敵は外交官を標的にした長期間の攻撃キャンペーンを展開しており、車両販売をフィッシング餌として利用し、HeadLaceマルウェアを配布しています。

Fighting Ursa（別名APT28）によるHeadLaceマルウェア拡散攻撃を検出する

悪名高いハッキング集団Fighting UrsaまたはAPT28の絶えず進化する敵対者インフラストラクチャは、組織がセキュリティを強化し、増大するサイバー攻撃に対して競争上の優位性を得る必要性を強調しています。SOC Prime プラットフォームは、集団的なサイバー防御のための検出アルゴリズムのコレクションをキュレートし、Fighting Ursa の攻撃、特に最近の外交官を狙ったHeadLaceマルウェア拡散キャンペーンを未然に防ぐのに役立ちます。

検出を探索する

下の 検出を探索する ボタンをクリックして、グループの識別子に基づいてタグでフィルタリングされたキュレートされたSigmaルールにアクセスします。提供された検出アルゴリズムは、関連する脅威情報で強化され、 MITRE ATT&CK® フレームワークにマッピングされ、30以上のサポートプラットフォームから選ばれたSIEM、EDR、またはData Lake言語形式に即座に変換可能です。

APT28のTTPを事後分析するための高品質な検出コンテンツを求めるセキュリティエンジニアは、 このリンクをフォローすることもできます。関連するSOCコンテンツをさらに探索するために、組織はSOC PrimeのThreat Detection Marketplaceで「Forest Blizzard」タグを使用して検索したり、 このリンクをフォローすることができます。.

Fighting Ursa攻撃分析

Palo Altoの研究者は最近、 進行中の悪意のあるキャンペーンを 主に外交官をターゲットにし、Fighting Ursa（別名 APT28, Fancy Bear、Forest Blizzard、STRONTIUM、Pawn Storm、またはSofacy Group）として追跡されているロシア関連のハッキング集団が関与していることを発見しました。少なくとも2024年3月以来、悪名高い国家支援グループがフィッシング餌として販売車両広告を利用し、HeadLaceとして知られる段階的に動作するモジュラーベースのWindowsバックドアを広めています。これはおそらく検出を回避し、マルウェア分析を妨げるためです。

APT28は、ロシアの軍事情報機関のUnit 26165に関連するGRU支援のグループとして、20年間以上サイバー脅威の舞台に登場しています。 ロシアによるウクライナへの全面侵攻以降、このハッキング集団は フィッシング攻撃ベクトルを利用し、主にウクライナ政府機関やその同盟国を標的にした攻勢キャンペーンを展開しています。

注目すべきことに、ロシアのハッキンググループは何年も外交車両販売をテーマにしたフィッシングルアーを利用してきました。これらのルアーは外交官にアピールし、標的を悪質なコンテンツにクリックさせようとします。2023年には、NOBELIUMまたはCozyBearとして知られる別のロシア支援のハッキング集団 APT29 が、ウクライナの外交ミッションをターゲットにしたフィッシングルアーとしてBMW販売を利用しています。Fighting Ursaは、成功した敵対戦略を再利用し、自らの攻撃活動に取り入れることで知られており、最新のキャンペーンでも同様の行動パターンを示しています。

偽のURLは正当な Webhook.site サービスにホストされており、Fighting UrsaがWebhook.siteを利用して悪意のあるHTMLページを提供するURLを作成しました。武器化されたHTMLには攻撃を自動化するために設計されたいくつかの要素が含まれています。最初に、訪問するコンピュータがWindowsで動作しているかを確認します。システムがWindowsベースでない場合、ターゲットとなるユーザーをImgBBにホストされたデコイ画像、特にAudi Q7 Quattro SUVにリダイレクトします。詐欺的な広告は「外交車両販売」と題されています。最終ペイロードはWindowsをターゲットにしているため、このOS確認は後続のアクションがWindowsユーザーのみを対象に実行されるよう確保している可能性があります。HTMLはHTML内のBase64テキストからZIPアーカイブを生成し、ダウンロード可能にしてJavaScriptを通じて開くことを試みます。

悪質なアーカイブには、画像ファイルとして偽装された正当なWindows用計算機の実行ファイル、DLL、そしてバッチスクリプトが含まれています。計算機の実行ファイルは悪意のあるDLLをサイドロードし、HeadLaceバックドアの一部としてバッチスクリプトを実行します。後者はBase64エンコードされたコマンドを実行して別のWebhook.site URLからファイルを取得し、ダウンロードフォルダに画像ファイルとして保存し、そのファイル拡張子を.cmdに変更して実行、最後にそれを削除して痕跡を消去します。

その絶えず進化するインフラストラクチャ、多様なルアーの使用、敵対戦術の再利用能力を持つFighting Ursaは、サイバー脅威の舞台において持続的なプレーヤーであり続けています。グループが正当なウェブサービスを悪用して攻撃を行うことは、防御者がこれらのサービスへのアクセスを制限し、その使用を精査して攻撃面を削減することを促しています。 SOC PrimeのAttack Detective を利用することで、脅威の可視性を最大化し、検出カバレッジのギャップを効果的に埋め、優先されたSIEMユースケースを取得し、低ノイズで高価値のアラートを容易に生成し、ハンティング能力を滑らかに提供して攻撃者よりも迅速に対応できます。