Remcos RATとMeduza Stealerの検出：UAC-0050グループがウクライナとポーランドの国家機関に対して大規模なフィッシング攻撃を開始

フィッシングキャンペーンから1週間も経たないうちに、 UAC-0050がRemcos RATを拡散し、グループは新たな攻撃作戦を仕掛けようとしました。新たに明らかになった大規模なメール配布キャンペーンでは、UAC-0050のハッカーがウクライナおよびポーランドの公共部門をターゲットに、悪名高いRemcos RATとMeduza Stealerと呼ばれる別のマルウェアを活用しています。

UAC-0050攻撃の説明： CERT-UA#8218アラートによってカバーされた活動

2023年11月7日、 CERT-UAは新たな警告を発表しました この大規模なフィッシング攻撃をカバーしている UAC-0050ハッキング集団 は、裁判要求や債務に関する誘い文句の件名付きのメールと、パスワード保護されたRAR添付ファイルを拡散しています。この武装化されたアーカイブを開くことにより、ターゲットとなったマシンは Remcos RAT およびMeduza Stealer感染の危険にさらされます。さらに、ハッカーはAutoIt/Injectorマルウェアを活用しました。UAC-0050は通常、Remcos RATのコントロールサーバーをマレーシアのプロバイダーShinjiruのサービスを利用してホストしています。

特に、ハッカーはgov.uaドメイン内のものを含む合法的に侵害されたアカウントをメールキャンペーンに利用しました。さらに、明らかにされたメールでは、ウクライナの公共部門に加え、ポーランドの政府機関も攻撃対象として示されています。 

潜在的な軽減策として、CERT-UAは、メールゲートウェイレベルでパスワード保護されたアーカイブおよび文書を含むメール添付ファイルをフィルタリングして侵入を防止することを推奨しています。 

Remcos RATとMeduza Stealerを拡散するUAC-0050の侵入を検出

最近のUAC-0050フィッシングキャンペーンは、グループが攻撃の範囲を拡大する野心を示しています。CERT-UA#8218アラートでカバーされた最新の大規模サイバー攻撃は、ウクライナとポーランドの両方を潜在的な侵入の被害者として特定しています。SOC Primeプラットフォームは、公共部門を含む多くの業界の組織が、どのような規模や高度の攻撃でも事前に防ぐために支援を提供しています。 

UAC-0050の活動に対抗するため、Remcos RATとMeduza Stealerマルウェアを配布するインフラストラクチャを保護するために、タグ「CERT-UA#8218」でフィルターされた検出アルゴリズムの厳選リストを頼りにしてください。こちらが MITRE ATT&CK® にマッピングされた関連するルールとクエリへのリンクで、より速い攻撃の特定と複数のサイバーセキュリティ言語への変換が可能です。

CERT-UA#8218アラートでカバーされたUAC-0050攻撃を検出するSigmaルール

クリックして 検出を探索 し、UAC-0050に帰属する既存および新たな攻撃に対する積極的な防御のためのさらなる検出アルゴリズムにアクセスしてください。全体のルールセットは、CTI研究者およびSOCアナリスト向けの深い洞察とサイバー脅威の文脈を提供する関連メタデータで強化されています。 

検出を探索

によって、 Uncoder IOというDetection Engineering用のオープンソースIDEを使用することで、防御者は、 最新のCERT-UA研究 からの法医学データを使用してIOCパッケージングを最大限に活用し、選択された環境で実行するカスタム検索クエリを即座に生成できます。 

MITRE ATT&CKコンテキスト

最新のCERT-UA#8218アラートでカバーされたUAC-0050の大規模フィッシング攻撃の背景にある洞察力のあるコンテキストに深入りするには、前述のすべてのSigmaルールがATT&CKにタグ付けされ、関連する戦術、技術、およびサブ技術に対処しています：