「Rogue RDP」攻撃検出:UAC-0215 が RDP 構成ファイルを利用し、ウクライナ公共部門のコンピューターに遠隔アクセス

[post-views]
10月 24, 2024 · 6 分で読めます
「Rogue RDP」攻撃検出:UAC-0215 が RDP 構成ファイルを利用し、ウクライナ公共部門のコンピューターに遠隔アクセス

攻撃者は、リモート管理ツールを悪用することが多く、その中には Remote Utilitiesソフトウェアがあり、これはウクライナに対するサイバー攻撃で利用されており、悪名高い UAC-0050 のアクターに関連付けられています。CERT-UAは 新しい警告を発表しました 防御側に対し、政府機関と防衛産業組織を標的としたフィッシングメールキャンペーンが進行中であり、悪意のある添付ファイルにリモートデスクトッププロトコル(RDP)構成リンクが含まれており、これがターゲットネットワークへのリモートアクセスを得る手段として使われていると警告しています。この関連する攻撃者の活動はUAC-0215ハッキンググループに関連しており、ウクライナ以外にも地理的範囲を拡大する可能性があります。

CERT-UA#11690警告でカバーされたUAC-0215による「Rogue RDP」攻撃を検出

攻撃者は常にウクライナやその同盟国に対する新しい悪質な手法の検証を行い、攻撃の範囲や複雑さが絶えず増加する中、サイバー防御者は潜在的な侵入を最初の段階で対処するための厳選された検出コンテンツを持っているべきです。SOC Primeプラットフォームは、集団サイバー防衛のための広範な検出スタックをセキュリティチームに提供し、CERT-UAアラートでカバーされたサイバー攻撃を阻止します。

クリックして 検出を探索 専用のSigmaルール集にアクセスし、 MITRE ATT&CK®フレームワークにマッピングされたもので、カスタマイズされたインテリジェンスで強化され、30以上のSIEM、EDR、およびデータレイク言語フォーマットに変換可能です。

検出を探索

さらに、サイバー防御者は Uncoder AI を利用して、CERT-UA#11690警告で提供されるUAC-0050およびUAC-0006活動に関連するファイル、ネットワーク、またはホストのIOCを即座にハントできます。Uncoder AIにIOCを貼り付けると、選択した環境で実行可能なパフォーマンス最適化されたハンティングクエリに自動変換します。

IOC変換用Uncoder AI

「Rogue RDP」攻撃分析

2024年10月22日、CERT-UAチームは、政府機関、主要産業企業、さらには軍事部隊にフィッシングメールが大量配信されているとの情報を受け取りました。これらは最新の CERT-UA#11690警告でカバーされています。これらのメールには「AmazonやMicrosoftサービスとの統合」や「ゼロトラストアーキテクチャ」(ZTA)の実装といった誘引トピックが含まれていました。

上述のフィッシングメールには、.rdp拡張子の構成ファイルが添付されていました。これを実行すると、攻撃者サーバーへの外部RDP接続が開始されます。RDPファイルのパラメータに基づいて、確立されたRDP接続はローカルディスク、ネットワークリソース、プリンタ、COMポート、オーディオデバイス、クリップボードへのアクセスを許可するだけでなく、侵入されたコンピュータ上でサードパーティのソフトウェアまたはスクリプトを実行するための技術的条件を作り出す可能性があります。

CERT-UAの研究者は、現在の悪意のある活動がUAC-0215ハッキンググループに起因すると仮定しており、他国の関連組織からの情報に基づいて、広い地理的範囲に渡っていると考えています。

調査によれば、現在進行中の敵のオペレーションのためのインフラストラクチャは少なくとも2024年8月から準備されてきました。「Rogue RDP」攻撃のリスクを軽減するために、CERT-UAは電子メールゲートウェイで「.rdp」ファイルをブロックすること、これらのファイルを起動するユーザーを制限すること、mstsc.exeがインターネットリソースにRDP接続するのを制限するようにファイアウォールを設定すること、およびRDPを介してリソースのリダイレクトを無効にするようにグループポリシーを設定することを推奨しています。

に頼ることにより SOC Primeの完全な製品スイート により、AI駆動の検出エンジニアリング、自動化された脅威のハンティング、及び高度な脅威検出の分野で、さまざまな産業のグローバル企業が効率的に現代のサイバーセキュリティ上の障害を克服し、チームとセキュリティツールを使用して攻撃の表面を減少させることができます。

MITRE ATT&CK コンテキスト

MITRE ATT&CKを活用することで、UAC-0215識別子のもとで追跡された現在の悪意のあるキャンペーンの文脈に関する深い洞察を得ることができます。下記の表を参照して、対応するATT&CK戦術、技術、およびサブ技術に対応する専用Sigmaルールの完全なリストにアクセスしてください。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事