リモートユーティリティの悪用：ウクライナ組織を標的とするUAC-0096グループによる新たなフィッシングキャンペーン

ウクライナの国家機関を標的とした最近の悪意のあるキャンペーンでの大量メール配信に引き続き、脅威アクターは Remcos (リモート制御および監視) トロイの木馬、リモートユーティリティと呼ばれる別の遠隔操作ソフトウェアを利用してウクライナの組織を攻撃します。 CERT-UA は、UAC-0096 ハッキンググループに起因するフィッシング攻撃の継続について、グローバルなサイバー防御コミュニティに警告します。

リモートユーティリティを活用するUAC-0096ハッカーによる最新のフィッシング攻撃の分析

2月13日、CERT-UAの研究者は新しい CERT-UA#5961アラート を発行し、ウクライナ国家安全保障防衛会議になりすました大量メール配信を詳細に説明しました。この継続中の悪意のあるキャンペーンでは、フィッシング攻撃ベクトルを利用してリモートユーティリティ、合法的なリモート管理ソフトウェアを通じてウクライナの組織をターゲットにしています。 

このフィッシングキャンペーンの数日前、CERT-UAの研究者は、ウクライナの国家機関を標的として別のリモート管理ツールである Remcos RATを利用した悪意のある活動を発見しました。前回の敵活動は、以前のキャンペーンでリモートユーティリティソフトウェアを使用していたUAC-0050ハッキング集団に起因していました。 

ウクライナに対する継続中のフィッシング攻撃では、敵は重大なセキュリティアップデートに関連する誘いメールの件名と偽のアップデートの詳細を含む悪意のあるRAR添付ファイルを適用します。RARファイルには、偽のガイドラインが含まれた画像の誘いと、実行ファイルを隠した分割アーカイブが含まれています。後者を起動することにより、侵害されたユーザーはリモートユーティリティ ソフトウェアをコンピュータにインストールし、ハッカーが悪意のある活動に利用します。観察された敵の行動パターンは、UAC-0096 ハックグループの活動に起因しています。 

CERT-UA#5961アラートでカバーされたUAC-0096の悪意のある活動を検知

ロシアのウクライナへの全面的侵略以来、サイバー防御者は、ウクライナの国家機関やさまざまな産業セクターの組織を狙うフィッシング攻撃の増加する量を観察しています。SOC Primeはサイバーフロントラインで、ウクライナとその同盟国がロシアに関連したいかなる規模の攻撃にも積極的に防御し、敵のTTPを検出するのを支援しています。組織がリモートユーティリティソフトウェアを悪用するUAC-0096ハッキングの悪意のある活動をタイムリーに発見するのを支援するため、SOC PrimeのDetection as Codeプラットフォームは、最新のCERT-UAアラートでカバーされた攻撃者のTTPに対応する専門家がキュレートした包括的なSigmaルールのリストにアクセスできます。これらの検出は、SIEM、EDR、およびXDRソリューションを通じて使用でき、チームがSIEM移行と手間のかかる手動調整の課題に対処するのを支援します。 

以下の 検出を探す ボタンをクリックして、関連するサイバー脅威コンテキストで強化された専用の高品質アラートおよびハンティングクエリに到達してください。 MITRE ATT&CK® のリファレンスとCTIリンクを含みます。専門のSigmaルールを見つける検索を簡素化するため、SOC Primeプラットフォームでは、アラートおよびグループ識別子に基づいて「CERT-UA#5961」と「UAC-0096」というカスタムタグでのフィルタリングをサポートしています。これらのタグのいずれかで関連する検出コンテンツを閲覧することができます。

検出を探す

セキュリティエンジニアは、新バージョンの Uncoder.IO ツールを活用して、UAC-0096の悪意ある活動に関連するコンプロマイズインジケーターの検索を自動化できます。このツールは現在、複数のSIEM＆XDRプラットフォームへのIOC変換をサポートしています。ファイル、ホスト、ネットワーク CERT-UAによって提供されたIOC をUIにペーストし、ターゲットクエリのコンテンツタイプを選択して、選んだ環境で実行するためのパフォーマンス最適化されたIOCクエリを即座に作成します。Uncoder.IOは、認証不要、ログ収集なし、すべてのデータはセッションベースで保管される無料プロジェクトで、安心してご利用いただけます。

MITRE ATT&CKコンテキスト

最新の2月のCERT-UAアラートでカバーされたUAC-0096ハッキング集団の悪意のあるキャンペーンの詳細なコンテキストを掘り下げるために、上記参照のすべてのSigmaルールには、関連する戦術と技術に対応するATT&CK v12タグが付けられています。 

組織のサイバーセキュリティ姿勢を強化するために、より多くのキュレートされたルールやクエリを探していますか？SOC PrimeのSigmaルール検索エンジンを利用して、攻撃検出のための関連するSigmaルールを取得してください リモートユーティリティを悪用して 、チームが常に前向きなサイバー防御能力を備えていることを確認してください。