Remcos RAT検知：UAC-0050ハッカーがウクライナの治安機関になりすましてフィッシング攻撃を開始

CERT-UAの研究者は最近、ウクライナに対するフィッシング攻撃に関する新しい注意喚起を発表しました。その攻撃は Remcos RATの配布に関与しています。この悪意あるキャンペーンの背後にいるグループは、大量に偽の送信者IDを使用した電子メールをウクライナ保安庁として偽装して送信しており、 UAC-0050.

CERT-UA アラート#8026でカバーされたUAC-0050攻撃分析

2023年11月13日に、CERT-UAは セキュリティ通知 を発行し、新しいフィッシングキャンペーンを公開しました。そのキャンペーンでは Remcos RAT が配布され、UAC-0050グループに帰属しています。後者は2023年2月にウクライナの組織を標的としたいくつかのフィッシング攻撃の背後にいると見なされています。 両方の悪意ある作戦はRemcosトロイの木馬の拡散を伴い 被害者を誘導して不正な電子メールを開かせるために偽の送信者IDを利用しました。

最新のキャンペーンで、攻撃者はウクライナ保安庁として送信者を偽装したフィッシングメールを利用し、誘引RARファイルを含めています。悪意あるメール内の最後のアーカイブには、影響を受けたインスタンスにRemcosを展開するEXEファイルが含まれています。攻撃者はOSレジストリのRunキーにエントリを作成することで持続性を維持します。

マルウェアの構成ファイルには、人気のあるマレーシアのウェブホスティングプロバイダーであるShinjiruにリンクしたC2サーバーの8つのIPアドレスが含まれています。特筆すべきは、ドメイン名がロシア企業REG.RUを通じて登録されていることです。

Remcos RATを使用したUAC-0050最新のフィッシング攻撃を検出

2023年を通じて、UAC-0050はフィッシング攻撃手段を悪用し、ウクライナに対する一連の攻撃を行っており、CERT-UA#8026アラートで対処されている最新の敵対キャンペーンを含みます。SOC Primeプラットフォームは既存および新たな脅威に対する検出アルゴリズムで防御者を武装させます。それにより、組織はサイバーの回復力を継続的に強化できます。以下のリンクをフォローして、最近のCERT-UAの注意喚起でカバーされたフィッシング攻撃を積極的に検出するためにカスタムタグ『CERT-UA#8026』でフィルタリングされた関連するSigmaルールを取得してください。

CERT-UA#8026アラートでカバーされたUAC-0050による攻撃を検出するためのSigmaルール

UAC-0050に関連するウクライナに対する他の攻撃のためのSOCコンテンツの包括的なリストを取得するには、 検出を探索。 検出コンテンツは、 MITRE ATT&CKフレームワークにマッピングされ、CTIおよび関連のメタデータで強化されており、複数のセキュリティ分析プラットフォームで使用できながら、複数の言語フォーマット間のギャップを橋渡しします。

検出を探索

チームはまた、ファイル、ホスト、ネットワークの CERT-UAによって提供されたIOC を使用し、SOC PrimeのオープンソースIDE for Detection Engineeringを利用することも可能です。このIDEは今、IOCパッケージをサポートします。 Uncoder IOを試して パフォーマンス最適化された検索クエリを自動的に作成し、それらを直ちにSIEMまたはEDR環境で実行しながら、脅威の調査時間を短縮できます。

MITRE ATT&CKコンテキスト

MITRE ATT&CKを活用することで、UAC-0050に帰属する攻撃活動の文脈に対する詳細な可視性を提供します。以下の表を調べて、対応するATT&CKの戦術、技術、サブ技術に対応する専用のSigmaルールの完全な一覧を確認してください。