UAC-0050およびUAC-0096グループによる新しいフィッシング攻撃検出、Remcosスパイウェアを拡散

2023年2月は、ウクライナに対する継続的な敵対者キャンペーンの月として記録され、フィッシング攻撃ベクターを利用し、リモートアクセスソフトウェアを活用しています。フィッシング攻撃が広まる中、 Remcos RAT および悪用された リモートユーティリティソフトウェア、ウクライナの組織を対象としたもう一つの大量メール配信がサイバー防御者の注目を集めました。最新の CERT-UA#6011アラート には、ペチェルスキー地方裁判所のふりをしたこの標的型フィッシングキャンペーンの詳細が記載されており、侵害されたシステムにRemcosスパイウェアを仕込むことを目的としています。

CERT-UA#6011アラートにカバーされたRemcosマルウェアを利用したフィッシング攻撃

ウクライナでの全面戦争の1周年が近づく中、攻勢力は主にフィッシング攻撃ベクターを通じて悪意ある活動を増加させています。2023年2月、ウクライナに対する少なくとも3つの継続的な敵対者キャンペーンがサイバー脅威の分野で注目を集め、そのすべてが リモートアクセスツール をサイバースパイ活動に利用している可能性が非常に高いです。

2023年2月21日、CERT-UAの研究者は 新たな警告 を発表し、さらなるフィッシング攻撃が広まりつつあることに対してサイバー防御者に警告しました。 Remcosスパイウェア。継続中の詐欺メールキャンペーンは、2月初めに観察された行動パターンを踏襲しています。脅威アクターは、送信者をペチェルスキー地方裁判所として偽り、ターゲットユーザーを騙して開かせるためのルアーRARファイルを適用しています。感染チェーンは、アーカイブを抽出することでトリガーされ、TXTファイルともう一つのパスワードで保護されたRARファイルが含まれています。後者には、真のデジタル署名と偽装された悪意ある実行可能ルアーファイルが含まれています。後者のEXEファイルを起動すると、仕組まれたシステムにRemcosスパイウェアをドロップさせます。

対象システムへのアクセスを得て感染拡大に成功した後、脅威アクターはデータを抽出し、ネットワーク偵察と組織のインフラへのさらなる攻撃に利用することができます。

CERT-UAの調査により、現在進行中のフィッシングキャンペーンで観察された敵対者の行動パターンが、もう1月のサイバー攻撃における脅威アクターによって示されたものと類似していることが確認されています。研究者は最新のキャンペーンと以前のもので使用されたメールの1つに同一のIPアドレスを発見しました。観察された行動の類似性に基づき、CERT-UAの研究者は両方のキャンペーンの背後にある2つのハッキング集団（UAC-0050およびUAC-0096）を単一の識別子UAC-0050として追跡することを提案しています。 リモートユーティリティソフトウェア. Researchers have discovered identical IP addresses used for one of the emails in the latest campaign and the previous one. Based on observed behavioral similarities, CERT-UA researchers suggest tracking two hacking collectives behind both campaigns (UAC-0050 and UAC-0096) under a single identifier UAC-0050.  

ウクライナの団体を標的とした最新のRemcosスパイウェアキャンペーンを検出

ウクライナは、 人類史上初の全面的なサイバー戦争の最前線で戦い続けており、政府機関やビジネス資産に対するサイバー攻撃の雪崩に耐えています。ウクライナとその同盟国があらゆる規模のロシア関連の侵入からプロアクティブに守り、敵対者のTTPを検出するのを支援するために、集団サイバー防御のためのSOC Primeプラットフォームは、悪意ある活動を検出し、Remcosスパイウェアとリモートユーティリティソフトウェアの乱用に関連するSigmaルールの包括的なリストへのアクセスを提供しています。すべての検出は、25を超えるSIEM、EDR、およびXDRソリューションと互換性があり、安全性を向上させたい技術者が自社のセキュリティ環境にマッチするものを活用できます。

以下の 探索検出 ボタンを押して、豊富なメタデータを含むキュレートされたアラートと検索クエリの専用セットにアクセスしてください。メタデータには、 MITRE ATT&CK® の参照とサイバー脅威インテリジェンスリンクが含まれています。関連するSigmaルールを効率的に探すために、SOC Primeプラットフォームは、「UAC-0050」、「UAC-0096」、「CERT-UA#6011」というカスタムタグを使用したフィルタリングをサポートしており、これらはCERT-UAの警告とそのハッキング集団の対応する識別子に基づいています。

探索検出

セキュリティパフォーマーは、関連する妥協指標を検索し、選択したSIEM & XDR環境で実行する準備を整えたキュレートされた検索クエリに変換する新しいバージョンの Uncoder.IO ツールを活用して、脅威ハンティング活動を効率化することもできます。検索バーを使用して関連する妥協指標を見つけたり、ファイル、ホスト、またはネットワーク CERT-UAによって提供されたIoCs を含むテキストを貼り付けたりすることで、即座にパフォーマンス最適化されたクエリを得ることができます。Uncoder.IOは、プライバシーを考慮して開発された無料のプロジェクトで、認証もログ収集も行わず、すべてのデータはセッションベースで保持され、安心して利用できます。

MITRE ATT&CKコンテキスト

CERT-UA#6011アラートで報告されたRemcos悪意あるキャンペーンの背後にある詳細なコンテキストを深く掘り下げるために、上記すべてのSigmaルールには、関連する戦術と技術に対処するATT&CK v12のタグが付されています。