MAGICSPELLマルウェア検出：UAC-0168ハッカーがウクライナのNATO加盟をフィッシングの餌として利用して標的攻撃を仕掛ける

CERT-UAの研究者は最近、ウクライナ世界会議の英語版ウェブサイトの偽のコピーを発見しました https://www.ukrainianworldcongress.org/その偽のウェブリソースには、開くと感染チェーンを引き起こすいくつかのDOCXドキュメントが含まれています。攻撃チェーンの結果として、ハッカーは、感染をさらに広げるために別のローダーをダウンロード、解読、保持、および起動することを目的としたMAGICSPELLペイロードを展開できます。特定された悪意のある活動はUAC-0168として追跡されています。

CERT-UA#6940アラートでカバーされたUAC-0168標的型攻撃分析

2023年7月5日に、CERT-UAの研究者は最新の CERT-UA#6940アラート を発行しました。これはUAC-0168ハッキンググループに起因する標的型敵対者の活動をカバーしています。この悪意のあるキャンペーンでは、脅威アクターはウクライナ世界会議の正当なバージョンの偽のコピーを利用して、被害者を悪意のあるDOCXファイルを開くように誘い、感染を誘発します。その偽のウェブリソースには、NATOサミットやウクライナのNATO加盟に関連するタイトルのRTFドキュメントと悪意のあるURLアドレスとUNCパスを含む2つのDOCXドキュメントがあります。

脅威アクターはHTTPおよびSMBプロトコルを介して通信を確立します。前述のDOCXファイルを開くことと関連する脆弱性の成功した悪用は、一連の悪意のあるファイルのダウンロードと起動につながります。これにはHTMおよびウェブアーカイブファイルを含む.chmファイル、URLおよび感染をさらに広げるVBSファイルが含まれています。後者は、ハッカーがSMBリソースにあるEXEやDLL形式を含むさまざまな形式の他のファイルを起動できるようにします。

調査を通じて、サイバーセキュリティの研究者たちは、MAGICSPELLローダーとして識別された「calc.exe」ファイルを明らかにしました。これは、侵害されたシステム上で他の悪意のある実行可能ファイルを展開し、その永続性を維持することが可能です。

攻撃者によって利用されたSMBリソースの分析により、30カ国に分布した195のIPアドレスが明らかになり、そのほとんどはVPNサーバーや研究機関に属しています。

CERT-UAによると、ウクライナ世界会議の名前とウクライナのNATO加盟のトピックをフィッシングの餌に使用することで、UAC-0168による最新の攻撃がリトアニアのビリニュスで7月11日から12日に開催されるNATOサミットと関連付けられています。

ウクライナに対する最新のUAC-0168攻撃の検出

脅威調査を効率化し、UAC-0168標的型攻撃に関連する最新の攻撃作戦を検出するために、SOC Primeプラットフォームは厳選されたSigmaルールセットを提供しています。ユーザーは、CERT-UAアラートとグループ識別子に基づいて、対応するカスタムタグ「CERT-UA#6940」と「UAC-0168」でルールをフィルタリングして関連する検出アルゴリズムを検索できます。

下の 検出を探る ボタンを押すと、UAC-0168攻撃検出に向けて専用のSigmaルールの広範なリストにすぐに詳細にアクセスできます。すべてのルールは MITRE ATT&CK®フレームワークv12にマップされ、実用的なメタデータと関連するサイバー脅威コンテキストを提供し、28以上のSIEM、EDR、XDRソリューションと互換性があり、組織固有のセキュリティニーズに合致しています。

検出を探る

さらに、セキュリティチームは、UAC-0168コレクティブに関連する妥協指標を探すことによって脅威ハンティングの速度を高めることができます。これは Uncoder AIを使用して、ファイル、ホスト、またはネットワークに関連する CERT-UAによって最新のアラートでリストされたIOC をツールにペーストし、ターゲットクエリのコンテンツタイプを選択することで、パフォーマンス最適化されたIOCクエリを即座に作成し、環境および現在のセキュリティニーズに一致させます。

MITRE ATT&CKコンテキスト

CERT-UA#6940アラートでカバーされた最新のUAC-0168攻撃の背景にある広いコンテキストをレビューするために、すべての関連Sigmaルールは、対応する敵対者の戦術と技術に対処するATT&CK v12タグが付けられています。