Jester Stealerマルウェア検出：UAC-0104ハッキンググループによる情報窃取マルウェアを拡散するフィッシング攻撃

新たなフィッシングサイバー攻撃の波が最近ウクライナを襲っています。APT28の脅威アクターによる攻撃の直後に、この脅威アクターは CredoMap_v2 情報窃取型マルウェアを拡散したばかりのところ別のハッキンググループがフィッシングメールを配布し、Jester Stealer というマルウェアを展開しています。 CERT-UA によるとです。この最新の悪意のある活動は、敵対者の行動パターンに基づいて UAC-0104 として追跡されています。

UAC-0104 による最新攻撃の Jester Stealer 分析

情報窃取型マルウェアは、攻撃者が被害者の機密データを外部に持ち出すことを可能にし、フィッシングと共に最も効果的な攻撃手法の一つとして常に進化しています。情報窃取型マルウェアのサンプルは通常、ウェブブラウザやメール/FTP/VPNクライアント、暗号通貨ウォレット、パスワード管理ツールなどからデータを外部送信します。新たに検出された Jester Stealer キャンペーンは、 Cyble Research Labs によって2022年2月に明らかになった情報窃取型マルウェアを利用しています。

Jester Stealer に感染したフィッシングメールを通じて仕掛けられた最新のサイバー攻撃では、脅威アクターは「化学攻撃」というトピックを餌に利用し、ユーザーが悪意のあるマクロを含むXLSファイルのリンクを開くように誘導しました。ファイルを開きマクロを有効化すると、実行ファイルが起動し、上記の情報窃取型マルウェアの系統でシステムをさらに感染させます。外部送信されたデータは、TORネットワークを含む統計的に定義されたプロキシアドレスを介して、Telegramメッセージングサービスを使用して攻撃者と共有できます。UAC-0104グループによって使用される情報窃取型マルウェアは、マルウェア分析を妨げる一連の技術を使用し、永続性メカニズムを欠いています。一連のアップデートを通じて、マルウェアは徐々にその能力を 向上させてきたのですが、それには AES-CBC-256暗号化、メモリ内でのログ保存、アンチサンドボックスおよびアンチVM機能のサポートが含まれています。さらに、Jester Stealerは悪意のある操作完了後に自分を削除し、脅威アクターが検知を回避できるようにしています。

Jester Stealer Malwareを検出

Jester Stealerによって引き起こされた感染を即座に発見し、UAC-0104脅威アクターに帰属するサイバー攻撃を積極的に検出できるようにするため、SOC Primeのプラットフォームは次の専用の検出アルゴリズムセットをキュレートしています。

UAC-0104グループに関連する悪意のある活動を検出するためのシグマルール

サイバーセキュリティの専門家は、自身のアカウントでSOC Primeのプラットフォームにログインするか、新規登録して上記の検出コンテンツに即座にアクセスすることを推奨します。このプラットフォームの機能により、対応するハッキング集団に関連付けられたカスタムタグ #UAC-0104 を使用して、関連するコンテンツ項目を直接検索することが可能です。

さらに、このルールキットは、SOC Primeの Quick Hunt モジュールを利用して、UAC-0104グループの悪意のある活動に関連するサイバー脅威を検索することができ、ハンティングをこれまで以上に簡単にします。

MITRE ATT&CK®コンテキスト：UAC-0104による新たなフィッシング攻撃

Jester Stealer マルウェアを含む最新のUAC-0104攻撃の背後にある攻撃者の行動を理解するために、上記のシグマベースの検出は、対応する戦術と技術に対応するMITRE ATT&CKフレームワークにマッピングされています。