UAC-0020(Vermin)活動の検出:クルスク戦線の戦争捕虜の話題を悪用した新たなフィッシング攻撃とFIRMACHAGENTマルウェアの使用

[post-views]
8月 21, 2024 · 6 分で読めます
UAC-0020(Vermin)活動の検出:クルスク戦線の戦争捕虜の話題を悪用した新たなフィッシング攻撃とFIRMACHAGENTマルウェアの使用

The Vermin ハッキング集団、UAC-0020としても追跡されており、FIRMACHAGENTと呼ばれる新しい攻撃ツールを使用してウクライナを標的にして再浮上しました。最新の攻撃では、敵対者がフィッシング攻撃の手段を利用して、クールスク前線の捕虜に関連する誘引を含む電子メールをばら撒きました。

UAC-0020 別名 Vermin 攻撃分析 FIRMACHAGENT を使用

2024年8月19日、CERT-UA チームが新しいサイバーセキュリティのアップデートを発表しましたCERT-UA#10742、Vermin として知られる UAC-0020 ハッキンググループの再出現をカバーしています。 特に数ヶ月前、Vermin は “SickSync”キャンペーン を、ウクライナの武装部隊に対して実行しました SPECTR マルウェア、これはまた、2022年3月中旬にウクライナ政府と軍事機関を標的にした同グループの主要な敵対ツールの一つでした。最新のキャンペーンでは、攻撃ツールキットの一般的な SPECTR マルウェアに加えて、FIRMACHAGENT マルウェアとして知られる新しい攻撃ツールを活用しています。

感染フローは、クールスク前線の戦争捕虜をテーマにしたフィッシングメールから始まります。これは悪意のあるZIPアーカイブへのリンクが埋め込まれています。このアーカイブには「list_of_inactive_vice_chairs_kursk.chm」という名前の CHM ファイルが含まれており、JavaScript コードを含む HTML ファイルが含まれており、曖昧化された PowerShell スクリプトの実行をトリガーします。後者は、ドキュメント、スクリーンショット、ブラウザ データなどの機密データを盗む SPECTR マルウェアのコンポーネントのダウンロードを目的としており、新しい FIRMACHAGENT マルウェアも含まれています。新しい攻撃ツールの主な機能は、盗まれたデータをコマンドサーバーにアップロードすることです。それはまた、「IDCLIPNET_x86.dll」というオーケストレーターを実行するためのスケジュールされたタスクを設定するために使用されます。これは SPECTR プラグインと FIRMACHAGENT を管理します。

攻撃の可能性を減らすために、組織はユーザーアカウントの権限を制限し、管理者グループから削除するなどの関連ポリシーを実施し、ユーザーが CHM ファイルや powershell.exe を実行することを防ぐことが推奨されます。

CERT-UA#10742 アラートにカバーされた UAC-0020 攻撃を検出

UAC-0020(Verminとしても知られる)ハッキンググループがウクライナ政府と軍事組織を標的にした悪意のあるツールセットを強化し続けるにつれ、セキュリティ専門家はこれらの脅威をリアルタイムで検出し対抗するための信頼できる方法を模索しています。集団的なサイバー防御のための SOC Prime Platform は、最新の UAC-0020 攻撃を特定するための専用の Sigma ルールセットを提供し、自動化された脅威ハンティング、AI駆動探知工学、高度な脅威検出のための完全な製品スイートを伴います。

CERT-UA#10742 アラートでカバーされた UAC-0020 攻撃を検出するための Sigma ルール

すべてのルールは、30 以上の SIEM、EDR、およびデータレイクソリューションと互換性があり、 MITRE ATT&CK® フレームワーク v.14.1にマッピングされています。また、脅威調査を効率化するために、検出は脅威インテリジェンス参照、攻撃タイムライン、トリアージの推奨事項などの詳細な CTI および運用メタデータで強化されています。上記のリンクから検出スタックにアクセスするか、単に「CERT-UA#10742」 タグを使用して脅威検出マーケットプレイスを参照してください。 

敵対者のTTPおよび行動パターンに対処するルールのコレクションに即座に掘り下げるために 検出を探る ボタンをクリックし、敵対者の攻撃を遡及的に分析するためのより広範な UAC-0020 検出適用範囲を探しているサイバーセキュリティ専門家に推奨されます。

検出を探る

さらに、調査をスムーズに進めるために、サイバーディフェンダーは Uncoder AI、検出工学のための業界初の AI コパイロットを頼りにし、 CERT-UA#10742 アラートで提供された IOC を即座にハントし、Uncoder AI に IOC を貼り付け、SIEM または使用中の EDR に一致するカスタムハンティングクエリに変換するためにシームレスに解析します。

CERT-UA#10742 アラートから Uncoder AI 経由でカスタムハンティングクエリに IoC を変換

MITRE ATT&CK コンテキスト

MITRE ATT&CK を活用することで、最新の UAC-0020 攻撃に関連する行動パターンに広範な可視性を提供します。下の表を参照して、対応する ATT&CK 戦術、技術、およびサブ技術に対応する専用の Sigma ルールの完全なリストを確認してください。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
ブログ, 最新の脅威 — 6 分で読めます
UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
Veronika Telychko
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
ブログ, 最新の脅威 — 6 分で読めます
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
Veronika Telychko
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
ブログ, 最新の脅威 — 5 分で読めます
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
Veronika Telychko