Metasploit Meterpreter マルウェア検出：ウクライナ政府機関に対する新しいフィッシング型サイバー攻撃が UAC-0098 と TrickBot グループに関連

2022年4月28日、CERT-UAは 注意報を発表しました ウクライナ政府機関を標的とした最新のフィッシングサイバー攻撃を通知しました。攻撃に使われたのはMetasploitフレームワークです。この悪質な活動は、UAC-0098と追跡されるグループの敵対的行動パターンに起因するとされています。さらに、この最近の攻撃は トリックボット ハッキング集団に追跡されており、ロシアに関連する悪名高いランサムウェアギャングとされており、洗練されたボットネットのオペレーターで、高度な脅威アクターと共同作戦を行います。例えば、 FIN6 and Ryukと連携した、マルウェア配布を目的としたターゲットとなる悪質なキャンペーンです。

Metasploit Meterpreterペイロードとは: サイバー攻撃の分析

Metasploitはオープンソースのフレームワークで、侵入テスト環境を作成し、エクスプロイトの開発、テスト、実行を行います。これは脅威アクターとホワイトハットハッカーの両方によって採用されている強力なツールで、関心のあるネットワークやサーバーの脆弱性を調べます。Metasploitフレームワークは、よく知られたMeterpreterを含む、侵入テストのためのさまざまなツールと機能を提供します。

Meterpreterマルウェア は、ウクライナの国家機関に対する最新のサイバー攻撃で配信された、暗号化通信を利用し、感染したプロセスに自己注入し、ネットワーク上をスムーズに移動可能で、感染の配信を容易にし、不十分なフォレンジック証拠を残す洗練されたペイロードです。

2022年4月28日、CERT-UAは、戦争をテーマにしたフックを利用してISOファイルを配信するフィッシングキャンペーンについての警報をリリースしました。特に、脅威アクターは、ウクライナ大統領の偽の法令ファイルを配布し、その中にDOCXフックファイル、ショートカットLNKファイル、PowerShellスクリプト、および実行可能ファイルが含まれていました。起動すると、LNKファイルはPowerShellスクリプトを実行して感染チェーンをトリガーし、続いてDOCXファイルを開き、次にEXEファイルを実行します。その結果、被害者のコンピュータがMeterpreterマルウェアに感染します。

CERT-UAの調査は、ロシア支援のUAC-0098およびトリックボットグループに、悪意のある行動パターンの類似点に基づいてこのキャンペーンを帰属しています。

UAC-0098とトリックボットのキャンペーンを検出するためのSigmaルール

UAC-0098ハッカーによるフィッシングサイバー攻撃から組織のインフラを守るために、SOC PrimeチームはMetasploit Meterpreterを活用した最新のキャンペーンを含む、大量の専用Sigmaルールを提供しました。

UAC-0098グループの悪意のある活動を検出するためのSigmaルール

#UAC-0098タグを使用して、リンク経由でSOC PrimeのDetection as Codeプラットフォームに登録し、すべてのコンテンツにアクセスするか、カスタム検索を行ってください。

セキュリティ専門家は、上記の検出コンテンツを使用して、UAC-0098の悪意のある活動に関連する脅威を検索できます。 クイックハントモジュール. 

MITRE ATT&CK®コンテキスト

Metasploit Meterpreterを使用し、ウクライナの国家機関を攻撃したUAC-0098およびトリックボットグループの最新のフィッシング攻撃のコンテキストを掘り下げるには、すべての関連Sigmaルールが、対応する戦術と技術に対応するMITRE ATT&CKフレームワークと一致しています。