UAC-0001 aka APT28 Attack Detection: Leveraging PowerShell Command in Clipboard as Initial Entry Point

悪名高い ロシア国家後援のハッキンググループとして知られるAPT28またはUAC-0001は、ウクライナの公共機関を標的にしたフィッシング攻撃を仕掛けたことがあるグループで、サイバー脅威の状況に再登場しました。最新の敵対キャンペーンでは、 CERT-UAによって発見された攻撃者は、クリップボードに埋め込まれたPowerShellコマンドを出発点として、データの流出や METASPLOITマルウェア. 

UAC-0001 いわゆる APT28 の活動を CERT-UA#11689 アラートに基づいて検出する

APT28は、モスクワ政府のためにウクライナやその同盟国を標的にして悪質な作戦を行ってきた長い歴史があります。ウクライナは、新しい戦術、技術、手順 (TTPs) をテストするための場として利用され、後に世界的な対象に対して展開されます。 SOC Prime プラットフォーム は、UAC-0001 (APT28) に起因するサイバー攻撃をプロアクティブに阻止するために、全体の検出スタックをセキュリティチームに提供します。

次の 検出を探る ボタンを押して、 MITRE ATT&CK® フレームワークにマッピングされたSigmaルールの専用コレクションにアクセスし、カスタマイズされたインテリジェンスで強化され、30以上のSIEM、EDR、データレイクの言語形式に変換できます。

検出を探る

セキュリティエンジニアは、上記の敵対活動に関連するTTPに対応するより多くの検出コンテンツに到達するために、関連する「UAC-0001」および「APT28」タグを使用することもできます。

脅威調査を効率化するために、サイバー防衛者は Uncoder AI を活用して、 CERT-UA#11689 アラートでリストされているファイル、ネットワーク、またはホストのIOCを即座に検索し、SIEMやEDR環境で実行準備が整ったカスタム性能最適化されたハンティングクエリに自動的に変換することができます。

UAC-0001 いわゆる APT28 の最新の攻撃分析

10月25日、CERT-UAの研究者たちは新たに CERT-UA#11689 の警告 をリリースし、「テーブル交換」という件名のメールとGoogleスプレッドシートに偽装したリンクを使用した地方自治体へのフィッシングキャンペーンを取り上げました。

偽のリンクをクリックすると、reCAPTCHAアンチボットメカニズムを模したウィンドウが表示されます。「私はロボットではありません」チェックボックスをクリックすると、PowerShellコマンドがコンピュータのクリップボードにコピーされます。これが偽のガイドラインを生み出し、ユーザーにコマンドラインを開き、コマンドを貼り付け、その後「Enter」を押してPowerShellコマンドの実行を確認するよう促します。

上記のPowerShellコマンドは、クリップボードをクリアし、SSHをダウンロードしトンネルを確立するためのPowerShellスクリプトを実行するHTAファイル（「browser.hta」）のダウンロードと実行を開始します。そして、Chrome、Edge、Opera、Firefoxブラウザから認証情報や他の機密データを盗み出し、流出させ、 METASPLOITフレームワーク.

悪名高いロシア支援のハッキンググループである Fighting Ursa, Fancy Bear, Forest Blizzard, STRONTIUM, Pawn Storm, UAC-0001, あるいはAPT28は、フィッシング攻撃や脆弱性の悪用を頻繁に利用してウクライナの国家機関を積極的に標的にしています。例えば、2022年6月には、APT28グループはUAC-0098と共にゼロデイ脆弱性である CVE-2022-30190 を悪用して、Cobalt Strike BeaconとCredoMapマルウェアをフィッシング添付ファイルを通じて配布しました。2023年4月には、 APT28またはUAC-0001の敵対者はウクライナの国家機関に対する電子メール詐称キャンペーンに関与していました。

2024年9月には、CERT-UAはRoundcubeの脆弱性 (CVE-2023-43770) のエクスプロイトを用いたメールに関するインシデントを調査しました。この悪用の成功により、敵対者はユーザーの認証情報を盗み出し、「ManageSieve」プラグインを用い「SystemHealthCheck」フィルタを作成し、被害者の受信ボックスコンテンツを攻撃者のメールにリダイレクトしました。侵害されたサーバー「mail.zhblz[.]com」はC2インフラとして使用されていました。

さらに、CERT-UAの調査では、政府機関に属する10以上の侵害されたメールアカウントが発見されました。敵対者はこれらのメールの内容を定期的に自動的に受け取り、さらにこれらを悪用して、他国の防衛機関を含むターゲットユーザーにエクスプロイトを送信しました。

UAC-0001 (APT28) によるウクライナ政府機関へのフィッシング攻撃が増加し、地理的な範囲が広がる可能性があることを受け、世界のサイバーセキュリティコミュニティは迅速にこれらの新たな脅威に対抗する必要があります。進歩的な組織は、AIによる検出エンジニアリング、自動化された脅威ハンティング、高度な脅威検出を提供するSOC Primeの 完全な製品スイート に依存することで、防衛能力を強化し、現在のビジネスニーズに一致した強靭なサイバーセキュリティ戦略を実施することができます。

MITRE ATT&CK コンテキスト

最新のUAC-0001によるウクライナおよびその同盟国への攻撃で使用された悪意のあるTTPに没入し、包括的なコンテキストを手に入れましょう。下の表を参照して、対応するATT&CK戦術、技術、およびサブ技術に対応する専用のSigmaルールの全セットを確認してください。