ロシア関連のAPT28(UAC-0028)脅威アクターがウクライナへのフィッシング攻撃でCredoMap_v2マルウェアを拡散

[post-views]
5月 09, 2022 · 5 分で読めます
ロシア関連のAPT28(UAC-0028)脅威アクターがウクライナへのフィッシング攻撃でCredoMap_v2マルウェアを拡散

進行中のサイバー戦の間に、 ロシア関連のハッカー集団は、ウクライナの組織をサイバー空間で麻痺させる新たな方法を模索しています。2022年5月6日、CERT-UAは 警告を発出しました 、ウクライナの国家機関を標的とする新たなフィッシング攻撃について警告しました。このサイバー攻撃は、ロシアの国家支援を受けた悪名高い 脅威アクターの APT28 (別名 Fancy Bear APT)としても追跡されるUAC-0028の悪意のある活動に帰されます。

APT28サイバー攻撃分析

最新のサイバー攻撃では、脅威アクターがCERT-UAからのセキュリティ警告を装ってメールを偽装しました。敵対者は、メールに添付された悪意のあるパスワード保護されたRARアーカイブを開かせて感染チェーンを引き起こすことを目的としていました。開かれると、それはSFXファイルを含んでおり、それがさらに、CredoMap_v2と呼ばれる悪意のあるソフトウェア、情報スティーラーの更新版を展開することになりました。使用されたマルウェアはデータの脱出にHTTPプロトコルを適用し、これにより、盗まれた資格情報をオープンソースのPipedreamプラットフォームにデプロイされたウェブリソースに送信することができます。

ウクライナの特別通信情報保護国家サービス(SSSCIP)によると、 APT28/UAC-0028ハッキンググループは、 2022年3月にウクライナの重要インフラに対する一連のサイバー攻撃の背後にも発見されています。

他のサイバー攻撃では、APT28ハッキンググループの脅威アクターが ヨーロッパの政府機関や軍事機関を標的にしているのが観察されました。彼らは、マクロを有効にした後にマルウェアの種類を落とすフィッシングメールを含む類似した攻撃ベクトルを適用しました。以前には、サイバー諜報キャンペーンで有名な Zebrocyトロイの木馬およびCannonマルウェアを配布しているのが観察されました 。メールはLion Air Boeing 737の災難に関連する流行トピックをフィッシングの餌として使用していました。

悪意のあるソフトウェアによる感染のリスクを最小限に抑えるために、 CERT-UAは パスワード保護された添付ファイルを含むメールや、フィッシングの餌として被害者を侵害するためにファイルを開かせる最新ニュースや注目されているトピックに関連するメールに注意を払うことを強く推奨します。組織は、対応するOS設定とセキュリティ対策を通じてEXEファイルをブロックできるソフトウェア制限ポリシーを適用すべきです。

CredoMap_v2マルウェアを活用したAPT28(UAC-0028)攻撃を検出するためのSigmaルール

APT28に関連する悪意のある活動、特に最新のCredoMap_v2キャンペーンを積極的に検出するために、SOC Prime Teamは一連の専用Sigmaルールを開発しました。

UAC-0028の悪意ある活動を検出するためのSigmaルール

SOC PrimeのDetection as Codeプラットフォームにサインアップして、ウクライナに対する最近のAPT28キャンペーンに関連するすべてのコンテンツを入手するか、#UAC-0028タグを利用したカスタム検索を実行して、他の関連する検出を明らかにします。

検出エンジニアは、プラットフォームの専用の Quick Huntモジュール を使用して、注目されているUAC-0028の悪意のある活動に関連する脅威を簡単に追跡することもできます。

MITRE ATT&CK® コンテキスト:APT28フィッシング攻撃

ウクライナを標的としたAPT28/UAC-0028による最新のフィッシングサイバー攻撃の詳細なコンテキストについては、上述の検出アルゴリズムは適切な戦術および技術に対応するMITRE ATT&CKフレームワークに準拠しています。

 

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事