脅威者がスピアフィッシングメールを利用し、UKR.NETサービスを装ってスパイ活動を展開

この記事は、CERT-UA によって提供されたオリジナルの調査結果を強調しています： https://cert.gov.ua/article/37788 

2022年3月16日、ウクライナのコンピュータ緊急対応チーム CERT-UA は、 標的型フィッシングキャンペーン を特定し、ウクライナの組織をサイバー諜報マルウェアで感染させようとしています。使用された手口を考慮して特定活動をロシアが支援するAPT28集団（UAC-0028）と関連付けたのは、確信度が低いながらも CERT-UA です。少なくとも2021年6月以降、APT28攻撃のメインベクターは標的型フィッシングです。敵の次のステップは、データの流出または侵害されたメールを使用してさらに正確なターゲットを対象とした標的型フィッシング攻撃を行うことです。

標的型フィッシングキャンペーンがウクライナの組織をスパイウェアで感染させる：CERT-UA 調査結果

CERT-UAの調査により、UKR.NETのメッセージを模倣した電子メールを配信する標的型フィッシングキャンペーンが明らかになりました。このメールには、一つのURL短縮サービスを使用して作成されたエンコードされたURLを含むQRコードが含まれています。このURLを開くと、被害者はUKR.NETのパスワードリセットページを模倣しようとするウェブサイトへリダイレクトされます。ユーザーが入力したデータは、Pipedreamプラットフォーム上に攻撃者が展開したウェブリソースにHTTP POSTリクエストで送信されます。

スパイウェア配信を目的とした標的型フィッシングキャンペーンを示すCERT-UAによって提供されたグラフィックス

グローバル侵害指標 (IOCs)

hxxps://tinyurl[.]com/2p8kpb9v
hxxps://panelunregistertle-348.frge[.]io/
hxxps://eoy7zvsvn6xfcmy.m.pipedream[.]net
hxxps://eo9p1d2bfmioiot.m.pipedream[.]net/?usr=
hxxps://eoiw8lhjwuc3sh2.m.pipedream[.]net
panelunregistertle-348.frge[.]io
eo9p1d2bfmioiot.m.pipedream[.]net
eoiw8lhjwuc3sh2.m.pipedream[.]net
frge[.]io (2021-04-21)
pipedream[.]net (正当なウェブサイト)

UKR.NET誘導型フィッシングを検出するIOCベースのハンティングクエリ

上記のIOCsを約20の最も人気のあるSIEMまたはXDR環境で実行するためのカスタムハンティングクエリに自動変換するには、SOC PrimeプラットフォームがUncoder CTIツールを提供しています – 今なら無料 で、2022年5月25日まで登録ユーザーに提供します。

絶え間なく変異するサイバー脅威の一歩先を行き、攻撃者が組織のアカウントを侵害し、それらを悪意ある目的で悪用するのを防ぎましょう。共同のサイバー防御アプローチにより、最新で最も正確な脅威検出コンテンツのストリームラインが可能になります。 SOC Prime の Detection as Code プラットフォームに今すぐ登録して、サイバー防御を強化するのに役立つ23,000のキュレーションされた検出ルールへのアクセスを取得しましょう。

ロシアのサイバー脅威が激化する中、SOC Primeは2,000以上のSigmaルールを提供し、あなたのインフラに対するロシア発の可能性のあるサイバー攻撃を特定します。注目すべきことに、これらのすべての検出は、SOC Primeによる最新のQuick Huntプロモによって現在無料で利用可能です。私たちのDetection as Codeプラットフォームで #stopwar, #stoprussian、そして #stoprussianagression タグを検索し、Quick Huntモジュールを使ってすぐにハンティングを始められます。 Quick Huntプロモについてさらに学ぶ には、専用の記事を参照してください。