インビジモール サイバー諜報グループが再びウクライナ政府機関を標的にしたスピアフィッシングで攻撃:CERT-UAの警告
目次:
この記事では、CERT-UAによって実施された独自の研究を強調しています: https://cert.gov.ua/article/37829.
2022年3月18日、ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、ウクライナの組織に対して標的型フィッシングキャンペーンを開始し、LoadEdgeバックドアを提供するために活動しているInvisiMole(UAC-0035)ハッキング集団に関連する悪質な活動を報告しました。InvisiMoleは、ロシアが支援する国家レベルのAPTであるGarmagedonと強い結びつきを持つと知られている高度なサイバースパイ組織です。
InvisiMole(UAC-0035):CERT-UA調査
CERT-UAが発行した警告によると、ウクライナの国家機関宛に大量のフィッシングメールが送信されており、そのメールには”501_25_103.zip”と題されたアーカイブが添付されています。このアーカイブには同名のLNKファイルが含まれており、それを開くことで、HTMLアプリケーションファイル(HTA)がダウンロードされ、実行されます。このHTAファイルには、LoadEdgeバックドアをダウンロードする悪意のあるVBSスクリプトが含まれており、対象システムを感染させることを目的としています。
LoadEdgeがシステムに侵入し、攻撃者の管理下にあるサーバーとコマンド&コントロール(C&C)通信を確立すると、隠された敵の武器庫から他のマルウェアペイロードが展開され、TunnelMode、RC2FM、およびRC2CLバックドアを含みます。
CERT-UAの調査によれば、発見された悪意のある活動はInvisiMole(UAC-0035)ハッキンググループに関連しています。特に、LoadEdgeバックドアのコンパイル日が、2022年2月24日にロシアの全面的なウクライナ侵攻の開始と一致していると報告されています。また、ウクライナのコンピュータ緊急対応チームは、LoadEdgeマルウェアの開発が2021年2月から進行中であることも明らかにしました。
LoadEdge概要:追加情報
LoadEdgeは、C++プログラミング言語を使用して開発されたバックドアです。このマルウェアは次のコマンドをサポートしています:fileEx, copyOverNw, diskops, disks, download, upload, getconf, setinterval, startr, killr, kill。LoadEdgeバックドアの機能は以下の通りです:
- 侵害されたディスクに関する情報を受信
- ファイルのダウンロードとアップロード
- ファイルシステムの操作を実行
- インタラクティブなリバースシェルを実行(リモートTCPポート1337で)
- データの削除
Persistenceは、HTAファイルを介してWindowsレジストリのRunブランチに記録を作成するか、またはWindowsレジストリでMcAfeeの値を“無効”に設定することで維持されます。 C&Cサーバーとの通信は、JSON形式を使用してHTTP経由で達成されます。
CERT-UAが提供するグラフィックスは、ウクライナ政府機関に対する最新のInvisiMole(UAC-0035)サイバー攻撃を示しています
グローバルコンプロマイズインジケーター(IOC)
ファイル
MD5 SHA256
dfb5a03f56769e3d1195bdfe6bb62070 4df873ea077bdbfe5389d30b5b0d0ad4a3fa663af4a4109859b61eb7f6099fc8 501_25_103.zip
72ed59f0d293ceede46bd69a09322f30 090997b4691f1a155187a181dbf54aec034eafc7b9344016867fe50da15829df 501_25_103.lnk
5fb6202b8273a6a4cda73cee3f88ce1a 6b721ab9f73718c393aca2b9ad06f45b09dbfb23d105ca5872d8df7515ae14c4 We4Qu6.hta
cd1a425e1ac6bc029fb4418523e43e88 5e06d688ac955b351c3ced0083dc7e372e447458e6604fd82ac118a6ac8e553c 501_25_103.doc (デコイファイル)
03f12262a2846ebbce989aca5cec74a7 fd72080eca622fa3d9573b43c86a770f7467f3354225118ab2634383bd7b42eb EdgeNotification.dll (2022-02-24) (LoadEdge)
ネットワークインジケータ
hxxp://45[.]95.11.34:88/get[.]php?a=We4Qu6
hxxp://45[.]95.11.34:88/_[A-Z0-9]{12}_AZ
hxxp://45[.]95.11.34:88/_[A-Z0-9]{12}_BZ
hxxp://45[.]95.11.34:3000/test
45[.]95.11.34
ホストインジケータ
%TEMP%501_25_103.doc.b2 %TEMP%EdgeNotification.dll.b2 %TEMP%501_25_103.doc %TEMP%EdgeNotification.dll HKCUSoftwareMicrosoftWindowsCurrentVersionRunNotification cmd.exe /c REG ADD HKCUSoftwareMicrosoftWindowsCurrentVersionRun /f /v Notification /t REG_SZ /d "rundll32.exe "%TEMP%EdgeNotification.dll", GetApplicationNotificationFact" C:1ReleaseDLoad.pdb G:projectsdemo_rtx64Releaseservice.pdb G:projectsdemo_rtWin32Releaseservice.pdb wmic memorychip get /format: list wmic baseboard get /format: list wmic os get /format:list wmic cpu get /format: list
最終版を検出するためのSigmaルール InvisiMole (UAC-0035)ウクライナに対する攻撃
LoadEdge、TunnelMole DNS、RC2CLバックドアを拡散するフィッシング攻撃に proactively 対抗するために、SOC Prime は Detection as Code プラットフォームで利用可能な精選されたSigmaベースのルールを提供しています。この著名なハッキングコレクティブに関連するすべての検出は適切にタグ付けされています #UAC-0035:
InvisiMole(UAC-0035)脅威アクターの最新の悪意のある活動を検出するためのSigmaルール
この検出スタックには、レジストリエベント、ファイルイベント、イメージロードおよびその他のログソースのためのIOCベースのSigmaルールセットがあります。また、特定のコンテンツには、脅威のハンティング能力を向上させ、敵の行動パターンを深く掘り下げるのに役立つSigma行動に基づくルールが含まれています。
MITRE ATT&CK® コンテキスト
ウクライナ政府に対するInvisiMole脅威グループの最新の標的型攻撃に関連する背景をさらに理解するために、前述のすべてのSigmaベースの検出はMITRE ATT&CKフレームワークに揃っており、以下の戦術と技術に対応しています:
ATT&CK NavigatorのためのJSONファイルをダウンロード
JSONファイルに適用される次のバージョンに注意してください:
- MITRE ATT&CK v10
- ATT&CK Navigatorバージョン:4.5.5
- レイヤーファイル形式:4.3
