PicassoLoaderとCobalt Strikeビーコン検出:UAC-0057(別名GhostWriter)ハッキンググループがウクライナの主要軍事教育機関を攻撃

[post-views]
6月 16, 2023 · 6 分で読めます
PicassoLoaderとCobalt Strikeビーコン検出:UAC-0057(別名GhostWriter)ハッキンググループがウクライナの主要軍事教育機関を攻撃

2023年6月16日、CERT-UAの研究者は、ウクライナ国防大学(イヴァン・チェルニアホフスキーの名にちなむ)の国立軍事教育機関を標的とした新たに発見された悪意のある活動をカバーする新しい警告を発表しました。この進行中のキャンペーンでは、脅威アクターがPicassoLoaderと Cobalt Strike Beacon を侵害されたシステム上に仕込まれたマクロ付きの悪意のあるファイルおよび大学のエンブレムをあしらったルアー画像を通じて拡散しています。この悪意のある活動は、UAC-0057またはGhostWriterとして追跡されるハッキング集団に起因しています。

UAC-0057 aka GhostWriter攻撃分析 

2023年夏の開始により、サイバー脅威の情勢が活発化しています。6月初旬、CERT-UAは、ウクライナと中央アジアのUAC-0063グループに関連する組織に対する進行中のサイバー諜報活動について、世界中のサイバー防衛者に警告しました。6月中旬、別のサイバー攻撃の波がサイバー脅威の場を揺るがし、これに関連する CERT-UA#6852警告

サイバーセキュリティ研究者は最近、マクロを含むPPTファイルと、学校名イヴァン・チェルニアホフスキーにちなんだウクライナ国防大学のエンブレム画像が含まれる悪意のあるファイルを発見しました。この感染チェーンは、文書の開封と悪意のあるマクロを起動することで始まり、DLLファイルとショートカットファイルを生成し、前者を起動します。この悪意のあるDLLファイルはPicassoLoaderマルウェアとして識別され、UAC-0057ハッキンググループ、別名GhostWriterによって一般的に使用されています。PicassoLoaderは.NETマルウェアドロッパーをダウンロードして起動し、さらに別のDLLファイルを復号化して起動します。後者は、著名な Cobalt Strike Beacon マルウェアを侵害されたシステム内で復号化し起動します。脅威アクターは、スケジュールタスクまたは自動起動フォルダにLNKファイルを作成することにより、上述のDLLファイルの持続性を維持します。 

CERT-UAの研究によれば、マルウェアのリモートアクセスサーバーはロシアに存在しますが、ドメイン名はCloudflareの機能により隠されています。

CERT-UA#6852警告でカバーされたUAC-0057グループの悪意のある活動の検出

ウクライナとその同盟国に対するサイバー攻撃の絶え間ない激化に直面し、サイバーセキュリティ防衛者は意識を高め、関連するリスクを迅速に緩和するための共同努力を行っています。UAC-0057ハッキンググループ(GhostWriterとしても追跡される)の悪意のある活動をカバーする新しいCERT-UA#6852警告に対応し、SOC Prime Platformは以下のリンクから利用可能なキュレートされたSigmaルールをリリースしました。

CERT-UA#6852警告で扱われたUAC-0057による敵対活動を検出するためのSigmaルール

検出アルゴリズムは MITRE ATT&CK®フレームワークv12に整合しており、知見と関連メタデータで充実しており、多数のSIEM、EDR、およびXDR技術にわたって適用可能です。上記のSigmaルールを検索するプロセスを効率化するために、セキュリティエンジニアはグループID(「UAC-0057」)または対応するCERT-UA警告(「CERT-UA#6852」)に基づくカスタムフィルタタグを適用できます。 

GhostWriter活動検出のためのSigmaルールの完全なコレクションにアクセスするには、以下の 検出を探る ボタンをクリックしてください。ATT&CK リンク、CTI、その他のサイバー脅威のコンテキストを常に把握するためにより多くを確認してください。 

検出を探る

サイバーセキュリティの専門家は、UAC-0057の敵対活動に関連するIoCをシームレスに検索することができ、最新の CERT-UA研究に提供されています。 Uncoder AI を利用して、選択されたSIEMまたはEDR環境で実行するために準備されたカスタムIOCクエリを即座に生成し、PicassoLoaderやCobalt Strike Beaconの感染をタイムリーに特定できます。 

Uncoder AIを使ってCERT-UA#6852警告でカバーされたIOCを検索する

MITRE ATT&CKコンテキスト

CERT-UA#6852警告で報告された最新のUAC-0057悪意あるキャンペーンの背景を探るため、すべての専用Sigmaルールは対応する戦術と技術をアドレスするATT&CKで自動タグ付けされています。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

UAC-0099攻撃検知:ハッカーがMATCHBOIL、MATCHWOK、DRAGSTAREマルウェアを使用してウクライナの政府・防衛機関を標的
ブログ, 最新の脅威 — 11 分で読めます
UAC-0099攻撃検知:ハッカーがMATCHBOIL、MATCHWOK、DRAGSTAREマルウェアを使用してウクライナの政府・防衛機関を標的
Veronika Telychko
UAC-0001(APT28)攻撃の検知:ロシア支援の攻撃者がLLM搭載のLAMEHUGマルウェアで安全保障・防衛セクターを標的に
ブログ, 最新の脅威 — 7 分で読めます
UAC-0001(APT28)攻撃の検知:ロシア支援の攻撃者がLLM搭載のLAMEHUGマルウェアで安全保障・防衛セクターを標的に
Veronika Telychko
UAC-0001(APT28)攻撃の検知:BEARDSHELLおよびCOVENANTマルウェアを用いたロシア国家支援グループの活動
ブログ, 最新の脅威 — 11 分で読めます
UAC-0001(APT28)攻撃の検知:BEARDSHELLおよびCOVENANTマルウェアを用いたロシア国家支援グループの活動
Veronika Telychko