Somnia マルウェア検出: UAC-0118 こと FRwL、ウクライナの組織に対して強化されたマルウェアを使用したサイバー攻撃を開始

[post-views]
11月 15, 2022 · 7 分で読めます
Somnia マルウェア検出: UAC-0118 こと FRwL、ウクライナの組織に対して強化されたマルウェアを使用したサイバー攻撃を開始

以来、 世界的なサイバー戦争の勃発時より、情報スティーラーと悪意あるペイロードを利用したウクライナとその同盟国に対するサイバー攻撃がサイバー脅威の舞台を騒がせています。最新のウクライナの組織へのサイバー攻撃では、脅威アクターがVidar情報スティーラーを含む多様な攻撃ツールキットを適用しました。 Vidar情報スティーラー そして悪名高い Cobalt Strike Beaconは、2022年2月以来ウクライナに対する一連のマルウェアキャンペーンで頻繁に使用されています。

2022年11月11日、 CERT-UA研究者 は、Somniaマルウェアとその他の悪意あるストレインの高度なバージョンを活用したウクライナの組織に対する継続中のサイバー攻撃により情報の整合性と可用性を損なったサイバーセキュリティインシデントに関する洞察を提供しました。標的にされた自動システムおよびコンピュータへの無許可侵入を引き起こした敵対アクティビティは、FRwLとしても知られるハッキング集団Z-Teamに起因し、UAC-0118として追跡されています。

CERT-UA#5185アラートでカバーされたUAC-0118の悪意ある活動の検出

ウクライナとその同盟国に対するサイバー攻撃の増加する量と洗練に鑑み、サイバーセキュリティの専門家は、新たな脅威をタイムリーに検知して潜在的侵入から組織を積極的に防御する必要があります。SOC Primeプラットフォームは、UAC-0118アクターに関連し、CERT-UA#5185アラートでカバーされた悪意ある活動を特定するための高精度のアラートと関連するハンティングクエリのバッチを集積しています。 CERT-UA#5185アラート。すべての検出は「UAC-0118」(「UA#5185」)というタグが付けられ、SOCチームメンバーのコンテンツ選択を簡素化します。

CERT-UA#5185アラートでカバーされた悪意ある活動を検出するためのSigmaルール

である 探索を検出する ボタンを押して、対応するUAC-0118タグに基づいてフィルタリングされた専用Sigmaルールにアクセスします。検出アルゴリズムはMITRE ATT&CK®に準拠し、関連するCTIリンク、緩和策、実行可能バイナリ、その他の関連メタデータを含む詳細なサイバー脅威コンテキストが伴います。Sigmaルールは、25以上のSIEM、EDR、およびXDRソリューションに翻訳され、どの環境でもサイバーセキュリティの専門家が必要なものに適しています。

探索を検出する

脅威狩りの努力を効率化し、SOC運営の効率を高めるため、セキュリティ専門家は最新のUAC-0118攻撃に関連するIOCを使用して検索できます Uncoder CTI。CERT-UA#5185アラートから関連するIOCを含むテキストをコピーして所定の環境で実行するためのカスタムIOCクエリを取得します。

IOCs Provided by Activity Covered by CERT-UA#5185 Alert

Somniaマルウェアを拡散するUAC-0118活動:攻撃分析

CERT-UA#5185の最新のアラートは、FRwLグループとしても知られるZ-TeamまたはUAC-0118によるウクライナに対する継続中の標的サイバー攻撃に関する研究を提供しており、妥協したシステム上でSomniaマルウェアを拡散しています。調査は、感染の連鎖がAdvanced IP Scannerソフトウェアとして偽装された悪意あるファイルをダウンロードして起動することで引き起こされたことを明らかにしています。正規のソフトウェアとしての体裁を装ったファイルには実際には Vidar情報スティーラー.

が含まれていました。サイバーセキュリティ研究者は、一般的なソフトウェアとして知られる公式ウェブリソースのコピーを作成する戦術が、初期アクセスブローカーの攻撃ツールキットに属すると考えています。最新の事件では、初期アクセスブローカーがデータ違反を引き起こし、FRwLハッキンググループに共有して、それによってサイバー攻撃を続行させることができました。

特に、VidarマルウェアはTelegramセッションデータを盗むこともできます。もし潜在的な被害者が二要素認証を使用していないと、攻撃者は無許可で被害者のアカウントにアクセスすることが可能になります。進行中のサイバー攻撃では、被害者のTelegramアカウントがVPN接続の設定ファイルを送信するために使用され、証明書と認証データが含まれていました。VPN接続中の二要素認証の無効化により、防御者は企業ネットワークにアクセスすることが可能となりました。VPNを通じて無許可アクセスを取得した後、脅威アクターはNetscanを用いて偵察を行い、 Cobalt Strike Beaconを実行し、Rcloneを用いてデータを流出させました。上記のマルウェアストレインに加えて、FRwLグループは被害システム上にAnydesk とNgrokを展開していることが観察されています。 のほかに、Somniaと呼ばれる進行中のサイバー攻撃において適用されたマルウェアストレインは大幅に進化しています。初期のマルウェアバージョンは3DESアルゴリズムを使用していましたが、現在のバージョンではAES暗号化アルゴリズムを適用しており、データの復号化機能を含んでいないため防御回避が強化されています。

MITRE ATT&CK®コンテキスト

UAC-0118脅威アクターによる最新のサイバー攻撃の背後にあるコンテキストに深入りするために、すべての専用Sigmaルールは

MITRE ATT&CK®フレームワーク に準拠しており、該当する戦術と技術に対応しています。 さらに、SOC PrimeプラットフォームからのSigmaルールとCERT-UA#5185アラートによって提供されたIOCに基づく関連するMITRE ATT&CKコンテキストを提供するJSON形式のATT&CKナビゲータファイルを以下からダウンロードできます。

ATT&CKナビゲータ用JSONファイルをダウンロード

CERT-UA#5185アラートによってカバーされる活動によるIOC



この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 9 分で読めます 最新の脅威 Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 by Veronika Telychko AI脅威インテリジェンス 22 分で読めます SIEM & EDR AI脅威インテリジェンス by Veronika Telychko CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 11 分で読めます 最新の脅威 CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 by Veronika Telychko
すべてのニュース