ロムコムバックドア検出: キューバランサムウェア運営者別名トロピカルスコーピウス(UNC2596)グループによるウクライナ国家機関へのサイバー攻撃

[post-views]
10月 24, 2022 · 7 分で読めます
ロムコムバックドア検出: キューバランサムウェア運営者別名トロピカルスコーピウス(UNC2596)グループによるウクライナ国家機関へのサイバー攻撃

2022年5月に、 Cubaランサムウェアの管理者は、 ROMCOM (または RomCom) RATと呼ばれる新しいカスタムリモートアクセストロイの木馬を利用して、サイバー脅威のアリーナに大きな再登場を果たしました。

2010年10月22日、 CERT-UAは 国際サイバー防衛者コミュニティに、ウクライナの公務員を標的としたフィッシングキャンペーンの進行中について警告しました。このフィッシングメールは、ウクライナ軍の総参謀本部を装ったメール送信者であり、外部ウェブリソースへのリンクを含み、ロアアタッチメントのダウンロードを提案します。その結果、感染チェーンが始まり、妥協されたシステムに悪意のあるRomComバックドアが展開されます。前述のRomComバックドアのような共通の敵対者の技術やツールの使用を含む特定の行動パターンに基づき、この悪意のある活動は、Tropical Scorpius、別名UNC2596グループに帰属され、Cubaランサムウェアの配布に関与していることが知られています。

Tropical Scorpius別名UNC2596/UAC-0132 悪意のある活動: CERT-UA#5509警告でカバーされたサイバー攻撃の分析

2022年5月から、新しい 敵対者キャンペーンがCubaランサムウェアを配布し、 Tropical Scorpiusハッキング集団(Unit42の名前付け規則による)に関連付けられたターゲット攻撃でサイバー脅威の場を賑わせました。これらの攻撃では、悪名高いCubaランサムウェアの管理者が新しいTTP(戦術、技術、手順)とより高度な敵対者ツールを活用し、新しいマルウェアファミリROMCOM(またはRomCom)RATを含め、ZeroLogonツールを武器化して CVE-2020-1472 脆弱性を悪用しました。

Cubaランサムウェアの管理者は、2019年以来MandiantによってUNC2596と識別されています。2021年、このグループは再登場し、 SystemBC マルウェアを他の悪名高いRaaSオペレーター、DarkSideやRyukを含む敵対者キャンペーンで拡散しました。

CERT-UAチームは最近、 CERT-UA#5509アラート を発行し、ウクライナ政府機関を標的としたフィッシングメールを拡散する進行中のサイバー攻撃について警告しました。感染チェーンは、外部ウェブページへのリンクをたどることで引き起こされ、悪意のある添付ファイルを含んでいます。そのウェブページには、PDFリーダーソフトウェアをアップグレードするための通知が含まれており、偽のソフトウェアアップデートボタンをクリックすると、システムは実行可能ファイルをダウンロードし、「rmtpak.dll」ファイルとして認識される悪意のあるRomComバックドアがデコードされて起動されます。

敵対者の行動パターンの分析によれば、この悪意のある活動は、Tropical ScorpiusまたはUNC2596、UAC-0132(CERT-UAによる)として追跡されるCubaランサムウェアオペレーターに帰属されることができます。

UAC-0132によって拡散され、Cubaランサムウェアオペレーターに関連付けられるRomComバックドアの検出

Tropical Scorpius別名UNC2596によるウクライナの国家機関を標的とした進行中の攻撃は、この悪名高いハッキング集団によって開始された敵対者キャンペーンが依然として重大な脅威をもたらしていることを示しています。高度なツールと洗練された敵対者技術の豊富な組み合わせにより、このグループの悪意のある活動は、サイバー防衛側からの迅速な対応が求められます。最新の脅威アクターがCubaランサムウェアの配布の背後にあるRomComバックドアの悪意の存在を組織がタイムリーに特定するのを支援するため、SOC Prime Platformは関連する Sigmaルールのセットをリリースしました。すべての検出コンテンツは、グループの識別子「UAC-0132」と「CERT-UA#5509」に基づいて、対応するCERT-UAアラートに基づいて、カスタムタグによる効率的な検索が可能です。

検出を探す 」ボタンをクリックして、UAC-0132の悪意のある活動を事前に検出するためのSigmaルールを取得してください。すべての検出アルゴリズムはMITRE ATT&CK®に準拠しており、包括的なサイバー脅威コンテキスト、関連するCTIリンク、緩和策、実行可能バイナリなどのより実用的なメタデータで強化されています。Sigmaルールと同時に、業界をリードするSIEM、EDR、XDRソリューションへのルールの翻訳にも即座にアクセスできます。

検出を探す

さらに、サイバーセキュリティの専門家は、CERT-UA#5509アラートでカバーされたUAC-0132脅威アクターの悪意のある活動に関連するIOCを検索できます。 Uncoder CTIを活用することで、選択したSIEMまたはXDR環境で実行する準備ができたカスタムIOCクエリを瞬時に生成することができます。

CERT-UA#5509アラートでカバーされたIOC

MITRE ATT&CK® コンテキスト

ウクライナの国家機関をRomComバックドアで標的とするTropical Scorpius、別名UNC2596脅威アクター(UAC-0132)に関連するMITRE ATT&CKのコンテキストを詳しく見るには、以下の表を確認してください。前述の検出スタック内のすべてのSigmaルールは MITRE ATT&CK®フレームワーク に準拠し、対応する戦術と技術に対応しています。MITRE ATT&CK® コンテキスト

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 9 分で読めます 最新の脅威 Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 by Veronika Telychko AI脅威インテリジェンス 22 分で読めます SIEM & EDR AI脅威インテリジェンス by Veronika Telychko CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 11 分で読めます 最新の脅威 CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 by Veronika Telychko
すべてのニュース