Remcos RAT検知：UAC-0050ハッカーがウクライナの治安機関になりすましてフィッシング攻撃を開始

Veronika Zahorulko 検出マーケットアナリスト

フォローする

Add to my AI research

CERT-UAの研究者は最近、ウクライナに対するフィッシング攻撃に関する新しい注意喚起を発表しました。その攻撃は Remcos RATの配布に関与しています。この悪意あるキャンペーンの背後にいるグループは、大量に偽の送信者IDを使用した電子メールをウクライナ保安庁として偽装して送信しており、 UAC-0050.

CERT-UA アラート#8026でカバーされたUAC-0050攻撃分析

2023年11月13日に、CERT-UAはセキュリティ通知を発行し、新しいフィッシングキャンペーンを公開しました。そのキャンペーンでは Remcos RAT が配布され、UAC-0050グループに帰属しています。後者は2023年2月にウクライナの組織を標的としたいくつかのフィッシング攻撃の背後にいると見なされています。両方の悪意ある作戦はRemcosトロイの木馬の拡散を伴い被害者を誘導して不正な電子メールを開かせるために偽の送信者IDを利用しました。

最新のキャンペーンで、攻撃者はウクライナ保安庁として送信者を偽装したフィッシングメールを利用し、誘引RARファイルを含めています。悪意あるメール内の最後のアーカイブには、影響を受けたインスタンスにRemcosを展開するEXEファイルが含まれています。攻撃者はOSレジストリのRunキーにエントリを作成することで持続性を維持します。

マルウェアの構成ファイルには、人気のあるマレーシアのウェブホスティングプロバイダーであるShinjiruにリンクしたC2サーバーの8つのIPアドレスが含まれています。特筆すべきは、ドメイン名がロシア企業REG.RUを通じて登録されていることです。

Remcos RATを使用したUAC-0050最新のフィッシング攻撃を検出

2023年を通じて、UAC-0050はフィッシング攻撃手段を悪用し、ウクライナに対する一連の攻撃を行っており、CERT-UA#8026アラートで対処されている最新の敵対キャンペーンを含みます。SOC Primeプラットフォームは既存および新たな脅威に対する検出アルゴリズムで防御者を武装させます。それにより、組織はサイバーの回復力を継続的に強化できます。以下のリンクをフォローして、最近のCERT-UAの注意喚起でカバーされたフィッシング攻撃を積極的に検出するためにカスタムタグ『CERT-UA#8026』でフィルタリングされた関連するSigmaルールを取得してください。

CERT-UA#8026アラートでカバーされたUAC-0050による攻撃を検出するためのSigmaルール

UAC-0050に関連するウクライナに対する他の攻撃のためのSOCコンテンツの包括的なリストを取得するには、 検出を探索。 検出コンテンツは、 MITRE ATT&CKフレームワークにマッピングされ、CTIおよび関連のメタデータで強化されており、複数のセキュリティ分析プラットフォームで使用できながら、複数の言語フォーマット間のギャップを橋渡しします。

検出を探索

チームはまた、ファイル、ホスト、ネットワークの CERT-UAによって提供されたIOC を使用し、SOC PrimeのオープンソースIDE for Detection Engineeringを利用することも可能です。このIDEは今、IOCパッケージをサポートします。 Uncoder IOを試してパフォーマンス最適化された検索クエリを自動的に作成し、それらを直ちにSIEMまたはEDR環境で実行しながら、脅威の調査時間を短縮できます。

Uncoder IOを使用して、CERT-UA#8026アラートからのIOCに基づいたカスタム検索クエリでUAC-0050の敵対行動を追跡してください。

MITRE ATT&CKコンテキスト

MITRE ATT&CKを活用することで、UAC-0050に帰属する攻撃活動の文脈に対する詳細な可視性を提供します。以下の表を調べて、対応するATT&CKの戦術、技術、サブ技術に対応する専用のSigmaルールの完全な一覧を確認してください。

Tactics	Techniques	Sigma Rule
Execution	Command and Scripting Interpreter: Unix Shell (T1059.004)	FIFO Special File Creation (via cmdline)
Execution	Command and Scripting Interpreter: Unix Shell (T1059.004)	Possible Python (GTFOBin) Activity by Use of Unusual Command Arguments (via cmdline)
Privilege Escalation	Exploitation for Privilege Escalation (T1068)	Possible Python (GTFOBin) Activity by Use of Unusual Command Arguments (via cmdline)
Privilege Escalation	Exploitation for Privilege Escalation (T1068)	Possible perl (GTFOBin) Privilege Escalation by Use of Unusual Command Arguments (via cmdline)
Defense Evasion	Abuse Elevation Control Mechanism (T1548)	Possible Python (GTFOBin) Activity by Use of Unusual Command Arguments (via cmdline)
	Abuse Elevation Control Mechanism: Sudo and Sudo Caching (T1548.003)	Running Shell (zsh/bash/sh) in Privileged Context (via cmdline)
	Hide Artifacts: Hidden Files and Directories (T1564.001)	Hidden File Was Created On Linux Host (via file_event)
Credential Access	Exploitation for Credential Access (T1212)	Possible Python (GTFOBin) Activity by Use of Unusual Command Arguments (via cmdline)
Credential Access	Modify Authentication Process: Pluggable Authentication Modules (T1556.003)	Shared Object File Was Created (via file_event)
Collection	Data from Local System (T1005)	Possible Python (GTFOBin) Activity by Use of Unusual Command Arguments (via cmdline)
Command and Control	Non-Application Layer Protocol (T1095)	FIFO Special File Creation (via cmdline)
Exfiltration	Exfiltration Over Web Service (T1567)	Possible Python (GTFOBin) Activity by Use of Unusual Command Arguments (via cmdline)

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加ミーティングを予約

More 最新の脅威 Articles

4月 16/2026 7 分で読めます最新の脅威 UAC-0247攻撃検出：AGINGFLYマルウェアがウクライナの病院、地方自治体、FPVオペレーターを標的に by SOC Prime Team

UAC-0255攻撃の検知：脅威アクターがCERT-UAを装い、AGEWHEEZE RATでウクライナの公共・民間セクター組織に感染させる

UAC-0252攻撃の検出: ウクライナでのフィッシングキャンペーンを推進するSHADOWSNIFFとSALATSTEALER