SmokeLoaderマルウェアを検出：UAC-0006が再びウクライナを標的にしたフィッシング攻撃を実施

大規模な UAC-0006によるフィッシング攻撃の直後に、 2023年5月初めに、CERT-UAはサイバー防衛者に、SmokeLoader感染を引き起こすサイバー攻撃の新たな波について警告します。最新の調査では、敵対者が金融に関連する主題のフィッシングメールを増加させ、狙いを定めたインスタンスに悪意ある標本をドロップするためにZIP/RAR添付ファイルを使用していることが示されています。

SmokeLoader配布を狙ったUAC-0006フィッシング攻撃の分析

2023年5月29日、CERT-UAの専門家は新しい CERT-UA#6757アラート で、UAC-0006ハッキング集団によって開始された継続的なフィッシングキャンペーンの詳細を公表しました。専用のJavaScriptダウンローダーを用いた悪意ある添付ファイルを利用することで、攻撃者は標的のシステムにSmokeLoaderを配信します。具体的には、ハッカーは、悪意あるHTMLやVHDXファイルを含むZIPまたはRARアーカイブを活用します。解凍されると、アーカイブはJavaScriptコードを引き起こし、それが実行可能ファイルをダウンロードして後にSmokeLoaderをドロップし、感染を拡大します。

CERT-UAチームは、2023年5月初めに開始された類似のフィッシングキャンペーンと比較して、UAC-0006攻撃のキルチェーンにおける顕著な更新点を特定しました。具体的には、攻撃者が複数の感染チェーンを使用する傾向があると観察されています。また、最新のキャンペーンで使用されるSmokeLoaderサンプルには、26のURLリンクが含まれたボットネットを制御するサーバーがあります。さらに、CERT-UAは Cobalt Strike Beacon が侵入時に適用され、UAC-0006がツールセットを拡大しようとしていることを示しています。

最新のUAC-0006の敵対者活動を検出する

SmokeLoaderを拡散する大規模なフィッシング攻撃から数週間後、以前の侵入の責任を負うUAC-0006の脅威アクターが再び現れました。敵対者のTTPの変化と最新の攻撃作戦での複数の感染チェーンの使用により、組織はより深刻なリスクにさらされる可能性があり、サイバー防衛者からの緊急の注意が求められます。SOC Primeは最近、 最新のCERT-UA#6757アラートでカバーされるUAC-0006グループの悪意ある活動を即時検出するための関連Sigmaルールのセットをリリースしました。すべての検出コンテンツは、対応するアラートやグループIDに基づき、「CERT-UA#6757」または「UAC-0006」というカスタムタグでフィルタリングされ、研究者がコンテンツ検索と脅威の調査活動を効率化できるようにします。

を押して 検出を探索 のボタンをクリックして、MITRE ATT&CK®にマッピングされたUAC-0006攻撃検出のためのSigmaルールのコレクション全体に即時アクセスできます。 MITRE ATT&CK® そして業界をリードするSIEM、EDR、XDRソリューションに自動的に変換されます。関連するメタデータ、ATT&CKリンク、CTI参照、その他のサイバー脅威コンテキストも手元で利用可能です。

検出を探索

SOCチームのメンバーは、 Uncoder AIを活用して、UAC-0006の悪意ある活動にリンクされたIOCを探すことも歓迎されます。これは脅威ハンターと検出エンジニアのための究極のツールとして役立つ強化インテリジェンスフレームワークであり、制限なく独自のIOCクエリに変換を可能にします。 のファイル、ホスト、またはネットワークIOCをツールに挿入し、選んだプラットフォームを選び、セキュリティニーズに合わせてクエリ設定を適用し、SIEMまたはEDR環境で即時に関連する脅威を探す準備をしてください。  

MITRE ATT&CKコンテキスト

UAC-0006ハッキンググループによるSmokeLoaderを拡散する最も最近の攻撃で利用されたTTPを深く調査するため、上記のすべてのSigmaルールはATT&CKにマッピングされ、対応する戦術と技術に対応しています：