Shuckworm スパイ活動グループ攻撃検出：ロシア支援の脅威アクターがウクライナの軍事、安全保障、政府機関を繰り返し攻撃

ロシアのウクライナへの全面侵攻以来、攻撃者の攻勢部隊はウクライナとその同盟国に対して、主に政府機関を標的とし、しばしばフィッシング攻撃の手法を利用するサイバースパイ活動を雪崩のように展開してきました。シュックワーム（アルマゲドン, ガマレドン）と名付けられた悪名高いハッカー集団が、少なくとも2014年以来、ウクライナの国家機関に対する一連の攻撃の背後にいるとされ、主に情報収集を目的とした標的型サイバー攻撃を展開してきました。サイバーセキュリティ研究者たちは最近、このグループの悪意ある活動が急増していることに気づき、現在はセキュリティサービス組織、軍、政府機関が主要なターゲットとなっています。

シュックワームのスパイ活動キャンペーンを検出

ロシアの悪名高いハッカー集団「シュックワーム（Shuckworm）」に起因する持続的かつ集中的なサイバースパイ活動は、主に公共部門における多くのウクライナ組織に深刻な脅威をもたらすため、サイバー防御者の注目を集めています。グループが長期的な侵入実験を行い、対抗策ツールキットを絶えず開発しているため、世界中のサイバー防御者コミュニティの警戒心が求められ、攻撃者のサイバースパイ活動の脅威に迅速に対応する準備が必要です。SOC Primeの集団サイバー防衛プラットフォームは、組織がシュックワームの攻撃から積極的に防御するのに役立つ専用のSigmaルールセットをキュレーションしています。

すべてのSigmaルールは、対応するカスタムタグ「Shuckworm」にフィルタリングされており、コンテンツ検索を簡素化します。クリックしてください 検出を探る 以下のボタンをクリックして、関連する検出ルールと探索クエリのすべてのコレクションを詳しく調べてください。 MITRE ATT&CK® フレームワーク にマッピングされており、業界トップのSIEM、EDR、XDRソリューションに自動変換可能です。脅威の調査をスムーズに進めるため、ATT&CKリンク、CTI、Sigmaルールにリンクされている実行可能バイナリ、およびその他の関連メタデータを探索してください。

検出を探る

シュックワームの活動：最新の攻撃を分析

2013年に初めて出現したシュックワーム（ガマレドン、アルマゲドン、トライデントウルサとも呼ばれる）は、悪意のある領域で熟練したプレーヤーです。このハッカー集団は、ウクライナとその同盟国に対する標的型サイバーインテリジェンスおよび破壊活動を実施することを目的としたロシア連邦の連邦保安庁（FSB）の重要な一部として活動しています。CERT-UAは、シュックワームグループの攻撃的活動を注意深く監視しており、 CERT-UAの研究者によってUAC-0010識別子として追跡されています。2022-2023年の間、シュックワームはウクライナのエンティティを標的とする最も侵襲的で集中したAPTの1つであり続け、 NATO諸国の重要なインフラストラクチャ設備を妨害しようとしています. 

。通常、 シュックワームグループ はスピアフィッシングキャンペーンに依存してサイバースパイ活動を進めます。脅威アクターは、VBScript、VBAスクリプト、C#、C++などのプログラミング言語で書かれた単純なツールを適用し、初期段階では主にオープンソースソフトウェアを利用しながら、徐々にPterodo/Pteranodon、 EvilGnome 、GammaLoad、GammaSteal、Giddomeなどの情報スチーラーを含む多数のカスタムサイバースパイツールで彼らのツールキットを豊かにする傾向があります。

ウクライナでの全面的な戦争の勃発以来、シュックワームはその悪意ある活動を大幅に強化しており、最新のスパイクは2023年2月から3月に観察されました。攻撃の量が増加するだけでなく、シュックワームの敵対者はその悪意あるツールセットを拡充する傾向があります。 Symantec社による調査 は、APTアクターが情報スチーラー、デフォルトのWordテンプレートハイジャッカー、およびPteranodonバックドアの異なるバリアントから、ネットワークを通じて拡散し、より広範なインスタンスを感染させる新しいUSBマルウェアに切り替えたことを詳細に説明しています。

最新のキャンペーンでは、シュックワームのハッカーは、ウクライナ政府、軍、セキュリティ、研究機関の人事部門に特に注目を集め、これらの組織に関連する個人の機密情報を取得しようとしました。

最新のキャンペーンでの侵入は通常、悪意のあるファイルが添付されたフィッシングメールから始まります。開かれた場合、それは攻撃者のサーバーからPterodoペイロードをダウンロードするPowerShellコマンドをトリガーします。さらに、PowerShellスクリプトはデバイス上のすべてのドライブを列挙し、リムーバブルUSBドライブに自身をコピーすることで、秘密裡の拡散と侵害された環境全体での横移動の成功の可能性を高めます。

セキュリティ専門家は、シュックワームがウクライナとその同盟国に対してレーザーフォーカスを保ち、サイバースパイおよび破壊的作戦を実行するためにその悪意あるツールセットを継続的に進化させていることを指摘しています。CERT-UAおよびSSSCIPと直接協力することで、SOC Primeチームは実際の戦場でSigmaルールを研究、開発、テストし、関連する検出アルゴリズムを集約し、SOC Primeのプラットフォームを通じてグローバルなコラボレーションを奨励しています。

APTグループが攻撃で使用するあらゆるTTPに対する検出コンテンツを完全に装備するために、SOC Primeに頼ってください。世界最速のセキュリティニュースフィード、テーラーメイドの脅威インテリジェンス、および新しい検出アイデアで継続的に豊かになる1万以上のSigmaルールの最大のリポジトリへのアクセスを取得してください。強化されたインテリジェンスと業界の集団的専門知識を活用し、セキュリティチームのメンバーに高度な検出エンジニアリングのための究極のツールを提供してください。データをクラウドに移すことなく、組織固有のログに基づいて脅威の可視性を完全に備え、不明な点を特定し、適時に対処してください。 SOC Primeプラットフォーム に今すぐ登録して、明日の安全のためにセキュリティチームを最良のツールで補強してください。