MEDUZASTEALER検出: ハッカーがTelegramメッセージングサービスを通じて送信者をReserve+テクニカルサポートとして偽装しマルウェアを配布

[post-views]
10月 18, 2024 · 6 分で読めます
MEDUZASTEALER検出: ハッカーがTelegramメッセージングサービスを通じて送信者をReserve+テクニカルサポートとして偽装しマルウェアを配布

サイバー攻撃の新たな波に続いて、 UAC-0050によるサイバースパイ活動および金融窃盗が関与している ツールの多様性に依存しており、 MEDUZASTEALER、ウクライナのサイバー脅威の場面で別の疑わしい活動が注目されています。 CERT-UAは最近、新しい警告を発表しました 偽装されたフィッシング攻撃をカバーし、MEDUZASTEALERをTelegram経由で拡散し、送信者をウクライナ国防省のアプリ Reserve+ の技術サポートとして偽装しています。

CERT-UA#11603 警報に掲載されたMEDUZASTEALER感染を検出する

可能な侵入を把握し、新たな悪意のあるTTPに対して積極的に防御するために、SOC Primeプラットフォームは、MEDUZASTEALER攻撃に対応する専用のSigmaルールスタックを提供しています。SOC Primeの完全なプロダクトスイートを活用して、高度な脅威検出、自動化された脅威ハンティング、AI駆動の検出エンジニアリングを利用し、可能な侵入を最初の段階で察知します。

特化された検出スタックにアクセスするには、以下の 検出を探す ボタンをクリックしてください。すべてのSigmaルールは MITRE ATT&CK®フレームワークにマッピングされ、特化されたインテリジェンスで強化され、30以上のSIEM、EDR、データレイク言語形式に変換可能です。

検出を探す

サイバー防御者は、SOC Primeプラットフォームで利用可能な追加の検出コンテンツを活用することで、言及された敵の活動に関連するサイバー攻撃に対する防御をさらに強化できます。UAC-0050攻撃を遡及的に分析するには、「CERT-UA#11603」タグを関連するCERT-UA報告書識別子に基づいて適用するか、「MEDUZASTEALER」を使ってコンテンツをフィルタリングし、よりターゲットを絞った検索を行います。

セキュリティエンジニアは Uncoder AI を利用して、対応する CERT-UA#11603警報 からのIOCを用いてMEDUZASTEALER関連の脅威に対するIOCパッケージングおよび遡及ハンティングを加速させることができます。それらを特定のSIEM、EDR、データレイク言語に適合するカスタムクエリに即座に変換します。

Uncoder AIを利用して、CERT-UA#11603警報からのIOCを使用してMEDUZASTEALER関連の脅威に対するIOCハンティングを効率化してください

MEDUZASTEALERマルウェアの説明

CERT-UAは最近、 新しい警報CERT-UA#11603 を発行し、MEDUZASTEALERを拡散する進行中のサイバー攻撃についてサイバー防御者に通知しました。2024年10月15日、CERT-UAは、2024年5月に「Reserve+」技術サポートチームの連絡方法の一つとして特定されたTelegramアカウント@reserveplusbotを通じて疑わしいメッセージが配信されていることについて情報を受け取りました。

特に、2023年12月末に、悪質な UAC-0050グループ がウクライナおよびポーランドの政府機関を攻撃し、MEDUZASTEALERに加えてRemcos RATを使用しました。

最新の攻撃では、悪質なメッセージはターゲットとなったユーザーに「特別なソフトウェア」をインストールするよう促し、「RESERVPLUS.zip」という名前のアーカイブを含んでいます。配布されたZIPアーカイブには実行可能ファイルが含まれており、実行されると別のファイル「install.exe」をダウンロードします。このファイルがコンピュータに感染し、MEDUZASTEALERマルウェアが引き起こされます。

その設定ファイルによると、このスティーラーは「.txt、.doc、.docx、.pdf、.xls、.xlsx、.log、.db、.sqlite」の拡張子を持つファイルを抽出し、その後自分自身を削除するように設定されていました。セキュリティソフトを回避するため、マルウェアが保存されていたディレクトリは、PowerShellコマンドレットを使用してMicrosoft Defenderの除外リストに追加されました。

攻撃者の先を行き、MEDUZASTEALER感染のリスクを最小限に抑えるために、組織はSOC Primeの 完全なプロダクトスイートを利用して、 AI駆動の検出エンジニアリング、自動化された脅威ハンティング、および高度な脅威検出を行い、将来にわたって堅実なサイバーセキュリティ体制を構築します。

MITRE ATT&CKコンテキスト

MITRE ATT&CKを活用することで、MEDUZASTEALERマルウェアを利用した最新の攻撃作戦の文脈を詳細に把握できます。下記の表を参照して、対応するATT&CK戦術、技術、およびサブ技術に対応する専用のSigmaルールの包括的なセットを確認してください。

Tactics 

Techniques

Sigma Rule

Execution

Command and Scripting Interpreter: PowerShell (T1059.001)

Command and Scripting Interpreter: Windows Command Shell (T1059.003)

Defense Evasion

Impair Defenses: Disable or Modify Tools (T1562.001)

Impair Defenses: Indicator Blocking (T1562.006)

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
ブログ, 最新の脅威 — 6 分で読めます
UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
Veronika Telychko
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
ブログ, 最新の脅威 — 6 分で読めます
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
Veronika Telychko
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
ブログ, 最新の脅威 — 5 分で読めます
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
Veronika Telychko