PicassoLoaderとnjRATの検出：UAC-0057ハッカーがウクライナの公共機関に対してターゲット攻撃を実施

サイバーセキュリティ研究者は、XLSファイルを利用して悪意のあるマクロを含む新たな標的型サイバー攻撃に関する警告をウクライナの公務員に発しました。この攻撃はUAC-0057グループによって行われています。 PicassoLoader マルウェア。この悪意のあるローダーは、さらに悪質なnjRATと呼ばれるマルウェアを導入することができます。 njRAT 感染をさらに拡大するために。

UAC-0057ハッカーによるPicassoLoaderおよびnjRATマルウェア配布：攻撃の説明

2023年7月7日、 CERT-UA研究者 は、2つのXLSドキュメントを発見しました。1つには正当なマクロが含まれており、もう1つには攻撃者が初期段階で使用した悪意のあるマクロが含まれていました。後者は、標的となったシステム上で悪質なPicassoLoaderマルウェアをデコードし、暗号解読し、持続性を維持し、実行することを目的としていました。攻撃者はまた、PicassoLoaderを利用して、njRATリモートアクセスユーティリティをダウンロード、暗号解読、実行しました。 njRATリモートアクセスユーティリティ.

最新の攻撃は、 UAC-0057グループ 、別名GhostWriterにリンクされています。これは、ウクライナの大学の1つを標的とした6月の敵対キャンペーンの背後にあり、PicassoLoaderとCobalt Strike Beaconを拡散しました。 Cobalt Strike Beacon。対応する CERT-UA#6948アラートに報告されている現在進行中の攻撃作戦では、UAC-0057攻撃者はウクライナの公的機関も標的にしています。

調査により、Avast、FireEye、およびFortinet製品によって保護されているシステムでは、PicassoLoaderマルウェアがハッカーによって展開されることはないことが判明しました。

PicassoLoaderおよびnjRATを利用したUAC-0057攻撃の検出

ウクライナに対する最新のUAC-0057サイバー攻撃を積極的に検出するために適切な検出アルゴリズムをセキュリティチームに装備するため、SOC Primeプラットフォームは集合的なサイバー防御のためにシグマルールのバッチを集約しています。ユーザーは、以下の「探索検出」ボタンを押すか、セキュリティ警告および脅威アクターの識別子に関連付けられたカスタムタグ「CERT-UA#6948」および「UAC-0057」を適用することで、この脅威検出スタックを取得できます。 探索検出 ボタンを押すか、セキュリティ警告および脅威アクターの識別子に関連付けられたカスタムタグ「CERT-UA#6948」および「UAC-0057」を適用することで、この脅威検出スタックを取得できます。

すべてのルールは、MITRE ATT&CK®フレームワークv12 にマッピングされており、広範な脅威インテルとともに、28以上のSIEM、EDR、XDR技術と互換性があり、組織固有のサイバーセキュリティニーズに対応しています。にマッピングされており、広範な脅威インテルとともに、28以上のSIEM、EDR、XDR技術と互換性があり、組織固有のサイバーセキュリティニーズに対応しています。

探索検出

効率的なハンティングのため、チームは、Uncoder AIを利用してUAC-0057集団に関連するIOCを探すことができます。 Uncoder AI。導入された CERT-UAによって最新のアラートにリストされているIOC をUncoder AIにコピーペーストし、狙いのコンテンツタイプを選択するだけで、自分の技術スタックおよび現在のセキュリティニーズに合わせたカスタムIOCクエリを簡単に作成できます。

MITRE ATT&CKコンテキスト

CERT-UA#6948アラートでカバーされた最新のUAC-0057操作に関連する広範なコンテキストを確認するために、関連するすべてのシグマルールは、該当する敵対者TTPに対応するATT&CK v12と照合されています。