Trident Ursa(別名:Gamaredon APT)攻撃検出:石油精製所を標的にすることで攻撃活動をエスカレートするロシア支援のハッカー
2022年2月にロシアがウクライナに対して全面的な侵攻を開始して以来、悪名高いトライデントウルサとしても追跡されている、ロシア関連のハッキンググループが アルマゲドンAPT aka ガマレドン またはUAC-0010は、ウクライナとその同盟国を標的に攻撃作戦を開始しています。このハッキング集団は10ヶ月以上にわたり、対応する CERT-UA の警告に記載されている一連のフィッシングサイバー攻撃を実行し続け、悪意ある活動を絶えずエスカレートさせています。
サイバーセキュリティ研究者はUAC-0010グループの攻撃作戦を注視しており、同グループはウクライナやその同盟国をサイバー戦線で最も執拗に狙うAPTの一つとして残っています。トライデントウルサがNATO加盟国の大手石油精製会社を標的にしようとしているため、サイバー防御者は侵入を適時に特定するための先進的な防御能力で武装する必要があります。
トライデントウルサ(UAC-0010)の敵対活動を検出する
ロシア支援のサイバースパイ集団として主に知られているアルマゲドンAPT、ガマレドン、またはトライデントウルサによる悪意ある活動が、現在サイバー脅威の風景で増加しています。SOC PrimeのDetection as Codeプラットフォームは、世界中の防御者が攻撃を未然に防ぎ、進行中のサイバー戦争で競争優位を得るのを助けるために設計されています。SOC Primeは、シグマおよびMITRE ATT&CK技術を活用して防御能力を向上させながら、ロシアの侵略からウクライナとその同盟国を守るためにサイバー戦線で戦っています。® 技術。
トライデントウルサの攻撃活動を適時に識別するのを助けるために、SOC Primeプラットフォームは当社の脅威バウンティコンテンツ寄稿者によって開発された専用のシグマルールセットをリリースしました。 ウィラポン・ぺットシャグン and カーン・イエニヨル。以下のリンクをフォローして、これらのアルゴリズムを最新の MITRE ATT&CKフレームワークv12 にマッピングされたサイバー脅威の文脈に即座にアクセスしてください。
最新のトライデントウルサの悪意ある活動を検出するためのシグマルール
ウィラポン・ぺットシャグンのシグマルールは、主要な手法としてアプリケーションレイヤープロトコル(T1071)を使用するコマンド&コントロール戦術を取り扱っている一方で、カーン・イエニヨルによって作成された検出アルゴリズムは、実行戦術と対応するスケジュールドタスク/ジョブ(T1053)手法を取り扱っています。
SOC Primeプラットフォームは、UAC-0010としても知られるガマレドンAPTの最新の悪意あるキャンペーンを検出するための別のシグマルールもキュレーションしています。この検出は、当社の著名な脅威バウンティ開発者である Kyaw Pyiyt Htet (Mik0yan) によって作成され、対応するブートまたはログオン自動スタート実行(T1547)およびレジストリの修正(T1112)ATT&CK技術によって表される永続性および防御回避戦術に対応しています。
上記のすべてのシグマルールは、15以上のSIEM、EDR、XDRソリューション、およびデータ分析プラットフォームで利用できます。
シグマとATT&CKのスキルをマスターし、より安全な未来に貢献しませんか? 脅威バウンティプログラムに参加して、将来のCVを書き込むためのコンテンツオーサリング、専門スキルの共有による磨き上げ、検出コンテンツの収益化が可能です。
UAC-0010の敵対活動を検出するための包括的なシグマルールリストを表示するには、以下の 検出を探索 ボタンをクリックしてください。セキュリティエンジニアは、「UAC-0010」というカスタムタグでフィルタリングされた関連する検出アルゴリズムを確認し、ATT&CKコンテキスト、CTIリンク、バイナリなどのメタデータを探索することができます。
ウクライナで全面的な戦争が勃発して以来、同国はガマレドン、トライデントウルサ、シャックワーム、UAC-0010、プリミティブベアを含む多数のモニカでサイバー防御者に知られる、ロシア関連のハッキンググループによる絶え間ないサイバー攻撃にさらされています。 アルマゲドンAPT, Gamaredon, Trident Ursa, Shuckworm, UAC-0010, and Primitive Bear. According to ウクライナSecurity Serviceによると、このハッキング集団はロシアの連邦保安局にリンクしており、ウクライナとNATO同盟国に対するサイバー領域における情報活動と破壊活動を開始することを目指しています。
このAPTグループは、フィッシング攻撃ベクトルを積極的に悪用しています。CERT-UAのサイバーセキュリティ研究者は、UAC-0010としてこのグループの悪意ある活動がますます増加していることにサイバー防御者の注意を引くために常に努力しています。脅威アクターは、主にウクライナの国家機関を標的にしているフィッシング攻撃の波を4月と5月に開始し、GammaLoad.PS1マルウェアとそのアップグレード版、 GammaLoad.PS1_v2を利用しました。2022年8月には、 GammaLoadおよびGammaSteelペイロード を使用して、別のフィッシングキャンペーンで感染したシステムを攻撃しました。最近の 11月の攻撃では、ハッキング集団はウクライナの国家特別通信サービスを装った送信者からの偽装されたメールを大量に拡散し、感染チェーンを引き起こすHTMLファイルを含む悪意ある添付ファイルを利用していました。
による最新の報告 パロアルトネットワークスユニット42 は、トライデントウルサの敵対活動に起因する脅威が増加している洞察を得ています。彼らの研究に基づくと、ユニット42チームは攻撃の範囲をウクライナを超えて拡大してきたことが明らかになりました。2022年9月には、脅威アクターがNATO加盟国に属する大規模な石油精製会社を侵害しようとする未遂の試みを行い、サイバー戦線での対立をエスカレートさせました。
悪名高いロシア関連のハッキンググループは、防御力を持つ勢力にとって困難な課題を引き起こし、敵対者TTPを絶えず強化し、検出回避技術を向上させています。たとえば、脅威アクターは、悪意ある操作の弾力性を高め、マルウェア解析手続きを妨げるためにファストフラックスDNS技術を適用しています。トライデントウルサが使用する他の敵対者技術には、正当なウェブサービスとTelegram Messengerを介してDNSを迂回することや、ルートドメインではなくサブドメインを使用して悪意ある操作を隠すことが含まれます。
トライデントウルサは、ターゲットシステムを初期的に侵害するためにVBScriptコードを介して複数の敵対者手法を一般的に適用し、頻繁にフィッシング誘引として使用されるHTMLファイルの添付を通じて悪意あるコンテンツを配信しています。
潜在的な緩和策として、 ユニット42は推奨しています 信頼できるDNSセキュリティソリューションの実装とAS 197695と通信しているすべてのネットワークトラフィックの徹底的な監視。
トライデントウルサまたはガマレドンAPTは、新しい難読化技術を利用し、新しいドメインを活用することで敵対者ツールキットを継続的に拡大している適応型ハッキング集団であり、ウクライナとその同盟国にとって脅威です。攻撃的な能力に積極的に耐えるために、当社の シグマルールサーチエンジン を探索し、現在および新たな脅威に対する最も関連性のある検出と詳細なサイバー脅威インテリジェンスを装備してください。
