Turla活動検出:ウクライナを標的とするロシアのサイバー諜報グループが10年前のUSB経由で配布されるAndromedaマルウェアを使用して新しいバックドアを拡散

[post-views]
1月 09, 2023 · 8 分で読めます
Turla活動検出:ウクライナを標的とするロシアのサイバー諜報グループが10年前のUSB経由で配布されるAndromedaマルウェアを使用して新しいバックドアを拡散

USBを介して拡散するマルウェアが初期のアクセス手段として人気を集めている昨今、サイバー防衛者は組織の重要なインフラを守るため警戒を怠りません。最近、サイバーセキュリティ研究者は、ロシアに関連付けられたサイバースパイグループの悪意ある活動を観察しました。このグループは Turla APT を追跡し、レガシーのAndromeda USB経由で配布されたマルウェアを活用して、新しいバックドアやカスタムの偵察ツールを展開し、ウクライナに対するサイバー攻撃を行っています。

Turla(UNC4210)オペレーションの検出:KopiLuwakとQUIETCANARYが十年前のAndromedaインフラストラクチャを通じて展開

ウクライナおよびその同盟国を標的とした攻撃が増える中、防衛者は攻撃者の攻撃を阻止するために協力しています。ロシアが支援するサイバースパイグループTurlaの悪意ある活動をタイムリーに特定するために、SOC PrimeプラットフォームはMITRE ATT&CK®に対応した関連Sigmaルールをまとめています。以下のリンクを参照して、新たにリリースされた我々のThreat Bounty開発者によるSigmaルールに即座にアクセスしてください。 Aykut Gurses and Zaw Min Htun (ZETA)によって、ウクライナを標的とした最新のTurla攻撃を検出するUNC4210対策キャンペーンの一部として作成された:

QUIETCANARYバックドアにより生成される可能性のある悪意のあるファイルの検出(file_event経由)

このSigmaルールはAykut Gursesにより開発され、.NETベースのQUIETCANARYバックドアが生成する悪意のあるファイルを検出し、データを流出させるために利用されます。このルールは20のSIEM、EDR、XDR技術に対応し、データ収集戦術と共に暗号化チャネル(T1573)を主要技術として扱います。

関連するcmdラインによるUNC4210活動の実行の可能性(process_creation経由)

このSigmaルールはZaw Min Htun(ZETA)によって作成され、悪名高いUNC4210の悪意ある操作の一環として、WinRARを通じたTurlaグループのデータ収集試行を検出します。この検出は、産業界のトップを行くSIEM、EDR、XDR、Snowflakeのようなデータレイクソリューション全体で利用可能で、実行戦術と対応するユーザー実行(T1204)技術を扱います。

私たちの Threat Bountyプログラム に参加して、自らの検出コードを提出し、SigmaとATT&CKの専門知識を深め、プロフェッショナルスキルを収益化する機会を得ましょう。 

世界的なサイバー戦争の最前線に立つSOC Primeは、ロシア関連グループが使用するあらゆるTTPに対するSigmaルールを継続的に強化し、ウクライナおよびその同盟国がロシアの侵略から自らを守る手助けをしています。以下のリンクを辿れば、UNC4210 Turlaオペレーションに関連する行動ベースの専用Sigmaルールのリストにセキュリティエンジニアがアクセスできます。

データ持ち出し用の可能性のあるデータの圧縮(cmdline経由)

一般的でないディレクトリを通過する圧縮ユーティリティ(cmdline経由)

システムネットワーク設定の発見の可能性(cmdline経由)

Wuauclt.exeによるコード実行の可能性(cmdline経由)

LOLBAS Wscript(process_creation経由)

アカウントやグループの列挙の可能性(cmdline経由)

検出を探る 」ボタンをクリックして、Turlaの脅威アクターによる既存および新たな攻撃を検出するためにCTI、MITRE ATT&CK参照、その他の有用なメタデータで豊富なSigmaルールの包括的なリストを確認してください:

検出を探る

Turlaグループオペレーション、別名UNC4210はウクライナを標的:攻撃分析

世界的なサイバー戦争の勃発以来、 ロシアのウクライナへの全面侵攻以来、サイバー防衛者たちは、攻撃者の国家支援グループがウクライナおよびその同盟国を標的とした破壊的攻撃の量に圧倒されています。ロシアに関連する Turlaサイバースパイグループは、Iron Hunter、Krypton、Uroburos、またはVenomous Bearのモニカでも知られており、主に政府、外交、軍事機関をターゲットにし、複数の偵察ユーティリティとカスタムマルウェアのストレインを適用しています。2022年2月以降、Turlaはウクライナに対するサイバースパイ活動に関連して、主に偵察活動やフィッシング攻撃ベクトルを悪用し、資格情報や他の機密データを盗むことに重点を置いています。

2022年初めの秋に、 Mandiantの研究者たち はUNC4210というTurla APTによる悪意ある操作を発見し、そこでは脅威アクターがレガシーのAndromedaマルウェア(別名 Gamarue)を利用してKopiLuwakという偵察ツールと、データ流出に主に利用される.NETベースのバックドアQUIETCANARYを展開していました。特に、2年前の2019年には、Turlaグループは KopiLuwakトロイの木馬 を政府機関をターゲットにしたサイバースパイ活動で利用しました。

UNC4210キャンペーンは2022年9月に開始されましたが、標的とされたウクライナの組織は、2021年12月に遡り、古いAndromedaマルウェアのストレインで感染しました。サイバーセキュリティ研究者は、このUNC4210キャンペーンで、脅威アクターが少なくとも3つの期限切れのAndromeda C2ドメインを用いて上述のペイロードを展開したことを明らかにしました。Mandiantの研究によれば、USB経由で配布されるマルウェアは依然として人気のある初期アクセスベクトルです。さらに、再登録されたドメインは感染したユーザーにとって重大なリスクをもたらし、脅威アクターはさらなるマルウェアのストレインを拡散し、より多くの組織を脅かす攻撃の範囲を拡大することが可能となっています。

ウクライナを支援するために寄付しながら、ロシアに関連したサイバー攻撃に対して積極的に防御する方法をお探しですか?500以上のSigmaルールと、ロシアの国家支援APTsに対する50の厳選された検出アルゴリズムへのアクセスを、私たちのチャリティベースの#Sigma2SaveLivesサブスクリプションで取得してください。詳細は https://my.socprime.com/pricing/.

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 9 分で読めます 最新の脅威 Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 by Veronika Telychko AI脅威インテリジェンス 22 分で読めます SIEM & EDR AI脅威インテリジェンス by Veronika Telychko CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 11 分で読めます 最新の脅威 CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 by Veronika Telychko
すべてのニュース