Remcos マルウェア検知: UAC-0050グループがリモートアクセスソフトウェアを使用したフィッシング攻撃でウクライナ政府機関を標的に

[post-views]
2月 07, 2023 · 7 分で読めます
Remcos マルウェア検知: UAC-0050グループがリモートアクセスソフトウェアを使用したフィッシング攻撃でウクライナ政府機関を標的に

Remcos トロイの木馬 (リモートコントロールと監視)は、フィッシング攻撃ベクトルを利用する脅威アクターによって頻繁に配信されています。このマルウェアは現在、ウクライナ政府機関を標的とするサイバー脅威の場に再浮上しています。 

2023年2月6日、サイバーセキュリティ研究者が新しい CERT-UA#5926 アラート をリリースし、ウクレテルコム JSC を装う大量メール配布が、標的のシステム上に Remcos マルウェアを拡散しようとすることを詳述しました。攻撃者は、ウクライナの国家機関を標的とするフィッシングメールで悪意のある RAR 添付ファイルを利用しました。調査によると、この敵対的活動は UAC-0050 というハッキング集団に帰属されています。 

UAC-0050によるRemcosマルウェア拡散の悪意のある活動:攻撃分析

Remcos は BreakingSecurity によって開発されたリモートアクセスソフトウェアです。一度インストールされると、このツールは侵害されたシステム上にバックドアを開き、リモートユーザーに対してフルアクセスを可能にします。2020年以降、攻撃者は COVID-19 テーマを利用したフィッシング攻撃で積極的に Remcos RAT を利用しています。マルウェアのオペレーターは、複数の TTP を利用した敵対的キャンペーンで、Remcos を使って被害者を監視し、資格情報の窃取、データの漏洩、コマンドの実行を行いました。   Remcos RAT in phishing attacks exploiting the COVID-19 topic. The malware operators take advantage of multiple TTPs in their adversary campaigns, using Remcos to spy on its victims, for credential theft, data exfiltration, and command execution.  

最新の CERT-UA#5926 アラート アラートでは、Remcos マルウェアを利用した新たに観察された悪意のある活動についてサイバーディフェンダーに警告しています。これらの攻撃では、脅威アクターはウクレテルコム JSC を装ったメールを送信元として送信するためにフィッシング攻撃ベクトルを悪用しています。攻撃者は、ファイナンシャル支払い詳細を装うRARアーカイブ添付ファイルを含む要求内容のあるメールを開封するように犠牲者を誘惑することを目指しています。この誘惑アーカイブにはアクセスコードが記載されたテキストファイルと、さらにパスワード保護された RAR ファイルが含まれています。後者には、被害者のコンピューターにリモート管理 Remcos マルウェアをインストールする実行可能ファイルが含まれています。  

CERT-UA の研究者は、2020年以降、注目されている UAC-0050 ハッキング集団に、この悪意のある活動を関連付けています。調査によると、脅威アクターは、RemoteUtilities として知られる別のリモート管理ソフトウェアを利用した以前の攻撃を開始しました。観察された敵対者の行動パターンとマルウェアの攻撃能力に基づいて、ウクライナの国家機関をターゲットにしている継続的な攻撃は、サイバースパイ活動に関連している可能性が非常に高いです。    

CERT-UA#5926 アラートで取り上げられたウクライナ国家機関に対する UAC-0050 によるサイバー攻撃の検出

フィッシングサイバー攻撃の量が増大し続ける中、防御者は感染をタイムリーに特定する能力を強化しようとしています。SOC Prime は、複数のマルウェア株を利用するサイバー攻撃に対して先手を打ち、積極的に防御するための手段を組織に提供します。SOC Prime の Detection as Code プラットフォームは、UAC-0050 ハッキンググループの敵対的活動に帰属する進行中のフィッシング攻撃で使用される Remcos マルウェアの検出のために Sigma ルールのセットをキュレートしています。効率的なコンテンツ検索のために、すべての検出アルゴリズムは、グループと CERT-UA アラート ID に基づいて、対応するカスタムタグ(「UAC-0050」または「CERT-UA#5926」)でフィルタされています。

をクリックして 検出を探索 ボタンを押すと、CERT-UA#5926 アラートに掲載された専用 Sigma ルールにすぐにアクセスできます。すべての検出は、業界をリードする SIEM、EDR、BDP、および XDR ソリューションに対して展開する準備ができており、 MITRE ATT&CK® の参照、CTI リンク、実行可能バイナリ、操作メタデータなど、深みのあるサイバー脅威のコンテキストで強化されています。

検出を探索

さらに、セキュリティエンジニアは、 Uncoder CTI ツールを利用して、UAC-0050 の悪意のある活動に関連する妥協の指標の検索を合理化することができます。ファイル、ホスト、またはネットワークの CERT-UA によって提供された IOC 擦把こ donnant que を UI に貼り付けるだけで、選択した環境内で Remcos に関連する脅威を検索するためのカスタムハンティングクエリを即座に生成できます。

CERT-UA#5926 アラートからの IOCs を使った Uncoder CTI

MITRE ATT&CK コンテキスト

CERT-UA の最新アラートで取り上げられた UAC-0050 グループの敵対的キャンペーンの包括的なコンテキストを探索するには、上記のすべての Sigma ルールが、対応する戦術と技術に対応する ATT&CK v12 でタグ付けされています。 

SOC Prime の Sigma ルール検索エンジンをブラウズして、Remcos マルウェアに対する 全面的な検出スタック にアクセスし、かつこれまで以上に早く現在と新たな脅威について学び、数分以内に優先順位を付け、即座に検出コードを展開します。  

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 9 分で読めます 最新の脅威 Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 by Veronika Telychko AI脅威インテリジェンス 22 分で読めます SIEM & EDR AI脅威インテリジェンス by Veronika Telychko CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 11 分で読めます 最新の脅威 CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 by Veronika Telychko
すべてのニュース