SmokeLoader マルウェア検出: ウクライナの会計士を標的としたUAC-0006ハッカーによるフィッシング攻撃の波

[post-views]
10月 09, 2023 · 6 分で読めます
SmokeLoader マルウェア検出: ウクライナの会計士を標的としたUAC-0006ハッカーによるフィッシング攻撃の波

2023年10月初めに、 UAC-0006グループ が、ウクライナを標的とした少なくとも4回のサイバー攻撃の背後にいるのが観測されました。攻撃者は以前のキャンペーンと同様のアドバサリツールキットを使用し、 SmokeLoader を最新のフィッシング操作で活用しました。

SmokeLoader配信: UAC-0006攻撃分析

2023年10月6日、 CERT-UAが4つのアラートを発表し、 財政的に動機付けられたUAC-0006グループに関連するウクライナの会計士を狙ったフィッシング活動の急増をコミュニティに知らせました。この進行中のキャンペーンでは、ハッカーは侵害された正当な電子メールアカウントを利用して潜在的な被害者にフィッシングメールを送信しています。さらに、UAC-0006はPDFやZIPの魅力的な添付ファイルを利用してSmokeLoaderを投下します。これらを開くと、JavaScriptローダーやバッチファイルがトリガーされ、実行可能ファイルを実行して SmokeLoaderマルウェアを含むようになります。特筆すべきは、リモートアクセスサーバーがロシア関連のリソースにホストされていることです。

UAC-0006の脅威アクターは、2023年5月初めのサイバースペースで注目を集め、その後7月中旬に、 フィッシング攻撃の手口を利用し、 拡散しています。 SmokeLoader.

最近の攻撃では、UAC-0006ギャングが会計士の個人用コンピュータを標的として認証データを盗み、リモートバンキングシステム内の財務ドキュメントの詳細を変更して不正支払いを送信しようとしています。2023年8月から9月にかけて、敵対者は最大数千万フリブニャの盗難を試みました。

企業ネットワークを財務サイバー犯罪から守るために、 CERT-UAの研究者 は信頼性の高いセキュリティソフトウェアを適用し、wscript.exe、cscript.exe、powershell.exe、mshta.exe、および同様のツールの起動を制限すること、また情報の外向きの流れをフィルタリングすることを推奨しています。

また、銀行機関は不正防止基準と新しい取引先への支払い取引に関連する適切なセキュリティ設定を適用し、制限を超える金額、トラストIPアドレスリストに基づいたクライアントの銀行へのアクセス制限を確保するよう強く推奨されています。

最新のCERT-UAアラートで強調されたSmokeLoaderを使用したUAC-0006攻撃を検出

フィッシング攻撃の圧倒的な量と金融サイバー犯罪のリスクの高まりにより、進歩的な組織は会計システムの保護を模索しています。このような新たな脅威に対応し、SOC Primeプラットフォームはリスク最適化のための革新的なソリューションを提供しています。SOC Primeチームは、行動ベースのSigmaルールを使用して、SmokeLoaderマルウェアを利用したUAC-0006ハッカーの継続的な不正活動を検出するためのセキュリティチームを支援しています。セキュリティエンジニアは、CERT-UAアラートID(“CERT-UA#7648”、“CERT-UA#7688”、“CERT-UA#7699”、“CERT-UA#7705”)に基づくカスタムタグを使用してこの検出コンテンツを探すことができます。以下のリンクをクリックして、人気のクラウドおよびオンプレミスのセキュリティソリューションに即座に変換可能な関連Sigmaルールにアクセスしてください:

SpreadLoaderを拡散するUAC-0006による継続中の攻撃を検出するためのSigmaルール 

さらに、サイバーセキュリティの専門家は、SmokeLoader検出用の他のSigmaルール集合を利用して検出能力とハンティング能力を強化し、UAC-0006アクターによる攻撃を積極的に防御することができます。以下の 検出を探る ボタンをクリックして、「UAC-0006」という関連タグでフィルタリングされたSOCコンテンツアイテムに詳細にアクセスしてください。すべてのSigmaルールは、 MITRE ATT&CK®フレームワーク に整合され、脅威インテルが付属しているため、サイバー脅威の全貌を深く探求することができます。

検出を探る

または、 SmokeLoaderを検出するための30以上のSigmaルール.

SOC Primeの Uncoder AI も使用して、 CERT-UAが提供する関連するIOCを探すことができます カスタムクエリを作成し、クラウド環境で自動的に実行することで。

UAC-0006攻撃検出のためのカスタムIOCクエリを生成するためにUncoder AIを使用してください。

MITRE ATT&CKコンテキスト

サイバーディフェンダーはまた、CERT-UA#7648、CERT-UA#7688、CERT-UA#7699、CERT-UA#7705アラートに取り上げられたUAC-0006によるサイバー攻撃の波の背後にある包括的なサイバー脅威のコンテキストをチェックすることができます。以下の表をチェックして、深い脅威研究のための関連Sigmaルールに関連するすべての適用可能な敵の戦術、技術、およびサブ技術のリストを見つけてください:

Tactics 

Techniques

Sigma Rule

Initial Access

Phishing: Spearphishing Link

(T1566.002)

Phishing: Spearphishing Attachment

(T1566.001)

Execution

Command and Scripting Interpreter: JavaScript (T1059.007)

Exploitation for Client Execution (T1203)

User Execution: Malicious File (T1204.002)

Command and Scripting Interpreter: JavaScript (T1059.005)

Defense Evasion

Masquerading: Double File Extension (T1036.007)

Masquerading: Match Legitimate File or Location (T1036.005)

Masquerading: Masquerade File Type (T1036.008)


System Script Proxy Execution (T1216)

System Binary Proxy Execution (T1218)

Subvert Trust Controls: Mark-of-the-Web Bypass (T1553.005)

Obfuscated Files or Information (T1207)

Process Injection: Process Hollowing (T1055.012)

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
ブログ, 最新の脅威 — 6 分で読めます
UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
Veronika Telychko
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
ブログ, 最新の脅威 — 6 分で読めます
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
Veronika Telychko
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
ブログ, 最新の脅威 — 5 分で読めます
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
Veronika Telychko