ロシア国家支援のHive0051（別名UAC-0010, Gamaredon）攻撃検出：敵対者が3つのマルウェアの枝を活用した攻撃的感染アプローチを採用

国家が支援するロシア関連の Gamaredon (別名 Hive0051、UAC-0010、Armageddon APT) ハッカー集団が新たなサイバー攻撃の波を巻き起こすことで注目を集めています。敵対者は新しいバージョンのGammaマルウェアを利用し、DNSフラッシングを採用して悪意ある系統を拡散し、一日に1,000以上の感染を引き起こしています。この感染チェーンは、複数の独立したマルウェアブランチを迅速に展開するための新しい、攻撃的で多層的な敵対者のアプローチを示しています。

Hive0051 (別名 UAC-0010、Gamaredon APT) 最新攻撃の検出

Hive0051、別名 Gamaredon、またはUAC-0010としても知られるこの集団は、国際的なサイバー領域で最も有名なロシア支援の高度持続型脅威の1つであり、特にウクライナのサイバー最前線で活動しています。注目すべきは、ウクライナの組織に対して適用されたこの悪意ある方法が体系的に洗練され、モスクワ政府にとって興味のあるより広範囲の国際的な標的に対してさらに展開されていることです。

最新のHive0051攻撃に関連する悪意ある活動を組織が見つけるのを助けるために、SOC Primeプラットフォームは集団的サイバー防御のために関連する敵対者のTTPsに対応する一連の精選された検出コンテンツを提供します。すべてのルールは28のSIEM、EDR、およびデータレイクソリューションと互換性があり、 MITRE ATT&CK®フレームワーク とマッピングされ、脅威の調査を滑らかにするために広範な脅威インテリジェンスで強化されています。単に 探す検出 ボタンを押せば、関連する検出スタックにすぐにドリルダウンできます。

探す検出

また、調査を進めるために、セキュリティ専門家は関連する IBM X-Forceリサーチで提供されたIoCを使用して迅速なハントを開始することができます。SOC Primeの Uncoder AI を利用して、カスタムのIoCベースのクエリを数秒で作成し、お好みのSIEMまたはEDR環境で自動的に作業することができます。

Hive0051攻撃に関する追加のコンテキストを得て、敵対者のTTPsを遡及的に分析するために、セキュリティ専門家は SOC Primeのブログで関連する文章集 を探索し、ATT&CK参照や関連コンテンツパック、研究の詳細を調査することができます。

Hive0051 (別名 Gamaredon APT) 攻撃分析

悪名高いロシア関連のサイバー諜報活動Gamaredonグループ、別名 Armageddon APT (Hive0051または UAC-0010)は、グローバルなサイバー戦争の始まり以来、ウクライナをターゲットにした一連のサイバー攻撃の背後にいることが観察されています。

IBM X-Forceの研究者たちは、2023年秋中頃からHive0051の活動の急増を追跡しています。一連の進行中の攻撃では、APTグループが新しいGammaマルウェアのバリエーションをテストしています。 have been tracking a surge in Hive0051 activity since mid-fall 2023. In a series of ongoing attacks, the APT group has been experimenting with novel Gamma malware variants. 

特に、Gamaredonは2022年にウクライナを対象とした複数のフィッシング攻撃を開始し、さまざまなGammaLoadバージョンを使用しました。中でも GammaLoad.PS1 は、有害なVBScriptコードを介して配信され、更新されたマルウェアのバージョンである GammaLoad.PS1_v2. 

として追跡されています。餌として利用されるサンプルの分析に基づくと、ウクライナの地域の軍事、警察、民間政府機関がHive0051の主要な標的であるままです。脅威を持つアクターは主にウクライナの軍事能力に関するインテリジェンスを収集していますが、新しい安全保障協定や、関連する訓練およびウクライナへの財政支援を提供するパートナーも別の敵対者の関心領域である可能性があります。

2023年11月から2024年3月初旬までのキャンペーンでは、Gamaredonは非常に高度で攻撃的な感染アプローチを示し、3つの異なるマルウェアブランチを生み出し、ほぼリアルタイムでファイルの不正流出やハンズオンキーボードアクセスを可能にしています。さらに調査では、ウクライナ軍および政府の訓練センターを主に標的とするウクライナ語の餌文書6つを明らかにしました。また、攻撃者はTelegram、Telegraph、Filetransfer.ioを含む複数のチャネルを通じて同期されたDNSフラッシングを介してC2インフラストラクチャを回転させます。グループは、攻撃の範囲と規模を拡大し続け、異なるマルウェアに関連する複数のアクティブなC2クラスターを維持しながら、数百のドメインにわたって活動しています。

研究者は、GammaLoad配布につながる2つの主要な感染チェーンを特定しました。最初の方法は、有害なVBScriptコードを含むHTAファイルを活用してメインのバックドアをドロップしロードするものです。もう1つの一般的な手法は、リモートテンプレートを組み込んだOfficeドキュメントを活用し、VBAマクロを注入するもので、同じVBScriptベースのバックドアをドロップします。

マルウェアが正常に実行されると、さまざまな動的DNS解決技術を使用してターゲットのC2サーバーのIPアドレスを解決します。特に、GammaLoadが1回成功すると、侵入中にわずか数分で複数のペイロードを分配する可能性があります。研究者は、少なくとも3つの独立したマルウェアブランチ、GammaLoadPlus、 GammaSteel、およびGammaLoad.PSを特定しており、それぞれが独立したC2フォールバックチャネル、持続化メカニズム、ファイルシステムアーティファクト、目的を備えて、単一の影響を受けたクライアントに即座にインストールされています。

進行中のロシアとウクライナの戦争の最中、Gamaredonはウクライナ軍の強さ、有効性、および戦闘能力に関する機密データを収集することを優先すると考えられます。このグループの攻撃の高度化と攻撃能力の進化への注力は、引き続きサイバーの警戒を維持し、サイバー防御能力を向上させる必要性を強調しています。 SOC Primeプラットフォームは集団的サイバー防御のために AI駆動の検出エンジニアリング、自動化された脅威ハンティング、および検出スタック検証のための完全な製品スイートを提供し、組織があらゆる規模の新たな脅威に積極的に対処できるようにします。