Storm-0978攻撃の検出：ロシア関連のハッカーがCVE-2023-36884を悪用し、防衛および公共部門の組織を標的にバックドアを拡散

サイバーセキュリティ研究者たちは、ロシアが支援するStorm-0978、別名DEV-0978グループによって開始された新しい攻撃作戦を明らかにしました。これはまた、以下の名前に基づきRomComとして追跡されています。 彼らが関連付けられている悪名高いバックドアです。このキャンペーンでは、ハッカーは、RCE脆弱性CVE-2023-36884とウクライナ世界会議に関連する誘引を利用して、ヨーロッパと北米の防衛組織および公的機関を標的にフィッシング攻撃を行っています。

Storm-0978攻撃の検出

ウクライナとその同盟国に対する一連の攻撃で知られる、ロシアが支援するStorm-0978ハッキンググループに起因する悪意のある操作の増加に伴い、防御者はサイバー防御を強化する方法を模索しています。CVE-2023-36884の欠陥の悪用に関連した最新のフィッシングキャンペーンをタイムリーに検出するために、SOC Primeチームは以下のリンクで利用可能な関連するSigmaルールをキュレーションしています。

疑わしいMSOffice子プロセス（コマンドライン経由）

このSigmaルールは20以上のSIEM、EDR、XDR、データレイクソリューションに適合され、初期アクセスおよび実行戦術に関連するMITRE ATT&CKにマッピングされ、フィッシング（T1566）およびクライアント実行のためのエクスプロイト（T1203）技術に対応しています。

Storm-0978攻撃の検出に関する包括的なSigmaルール一覧を取得するには、 検出を探る 下のボタンをクリックしてください。シンプルな検出コンテンツの検索を実現するために、すべての関連するSigmaルールはカスタムタグ“Storm-0978”または“DEV-0978”でフィルターされています。グループの攻撃の背後にあるサイバー脅威の詳細なコンテキストについて洞察を得るために、私たちのCTIとATT&CKリファレンスをチェックし、緩和策を探り、脅威の調査から時間を削減するためにより行動可能なメタデータを掘り下げてください。

検出を探る

サイバー防御者は、またRomCom検出のための Sigmaルール全体のスタックにアクセスできます 既存および新たな脅威から積極的に防御するために、このマルウェアに関連するすべての脅威及びその配信に責任がある対戦相手に関連しています。

Storm-0978攻撃分析: サイバー諜報活動とランサムウェア活動

マイクロソフト研究チームが明らかにしました Storm-0978グループによる新しいフィッシングキャンペーン 別名DEV-0978は、防衛組織および公共団体を標的にしています。脅威のアクターは ゼロデイのCVE-2023-36884 野外で悪用されている、Microsoft WindowsおよびOfficeのRCE脆弱性で、CVSSスコア8.3のものが2023年7月にMicrosoftのパッチに追加されました。最新の対戦相手キャンペーンでは、攻撃者はウクライナ世界会議にリンクされた誘引を利用しています。

Storm-0978はロシア関連のグループで、機密データの収集と盗難を目的とした複数のランサムウェア作戦や悪意のあるキャンペーンを展開しています。このハッキング集団は、RomComバックドアの開発者および配布者としても知られています。2022年秋には、ウクライナの国家機関もターゲットにされました。 RomComマルウェア CERT-UAによって報告された標的型フィッシングキャンペーンのための感染です。DEV-0978は、彼らが関与する対応する悪意のある株に基づいてRomComとしても追跡されます。最新の夏季’23キャンペーンでは、CVE-2023-36884のエクスプロイトがRomComに似たバックドアの拡散につながります。

Storm-0978の活動は主に財務的およびサイバー諜報活動の動機を明らかにしており、さまざまな業界セクターが主要な標的として使用されています。諜報関連のキャンペーンでは、Storm-0978の脅威アクターがフィッシング攻撃のベクトルを悪用し、ウクライナ関連の政治的な話題を誘引として利用して、ウクライナの国家機関や軍事組織およびその同盟国を狙うことが観察されています。一方、Storm-0978のランサムウェア活動は主に通信業界と金融機関を標的としています。

攻撃に使用される対戦相手TTPとして、このグループは正当なソフトウェアのトロイの木馬化されたバージョンを利用してRomComマルウェアを展開し、正当なユーティリティに偽装した悪意のあるドメインを登録します。

RomComオペレーターは、2022年下半期から一連のサイバー諜報活動を開始しました。CVE-2023-36884を武器化した最新の6月キャンペーンに加えて、Storm-0978アクターは ウクライナの役人に対するフィッシング攻撃の波を早期2022年に実施し、特にDELTAシステムのユーザーをターゲットとし、FateGrab/StealDealマルウェアを広めていました。別の対戦相手キャンペーンは2022年秋中頃に行われ、このグループはウクライナの軍事および公共部門の組織をターゲットにする偽のインストーラーウェブサイトを生成し、RomComを展開してユーザーの資格情報を獲得しました。

Microsoftは推奨される 緩和措置のリスト を発行しました。これにより、CVE-2023-36884の悪用試みに関連する脅威を修復するための方法が提供されます。Microsoft Defender for Officeを利用している企業は影響を受けませんが、他のクライアントは潜在的な攻撃のリスクに直面する可能性があります。すべてのOfficeアプリケーションが子プロセスを生成するのを防ぐAttack Surface Reduction Ruleを利用することで、対戦相手の悪用試みを阻止します。適用できる別の緩和ステップは、 FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATIONレジストリキーの設定です。  

探る SOC Primeプラットフォームで、集団サイバー防御のために 世界最大のSigmaルールリポジトリにアクセスし、Uncoder AIとAttack Detectiveを装備して、検出エンジニアリング手順をより速く簡単にし、インフラストラクチャの盲点をタイムリーに特定し、銃撃支えるサイバースペース戦略のために狩りの操作を優先順位化してください。