UAC-0050攻撃検出：ハッカーがRemcos RATを拡散する別の標的型キャンペーンを開始

ウクライナ安全保障局を装ったフィッシング攻撃の直後に Remcos RATを使用し、UAC-0050とされたハッキング集団がウクライナに対して別の攻撃キャンペーンを開始しました。これらの攻撃では、法廷召喚状に関連する件名と添付ファイルの誘惑で15,000以上のユーザーを対象にメールを大量送信し、影響を受けたシステムにRemcos RATを広めようとします。  Remcos RATを使用し、UAC-0050とされたハッキング集団がウクライナに対して別の攻撃キャンペーンを開始しました。これらの攻撃では、法廷召喚状に関連する件名と添付ファイルの誘惑で15,000以上のユーザーを対象にメールを大量送信し、影響を受けたシステムにRemcos RATを広めようとします。 

UAC-0050に帰せられるフィッシング攻撃の分析とRemcos RATの拡散

最新のCERT-UA#8150警報 UAC-0050の脅威アクターが配布する別の悪意のある活動をカバーしています Remcos RATマルウェア。敵対者は法廷召喚状を装って標的ユーザーを引き寄せ、悪意のあるメール内容とRAR添付ファイルを開かせようとしています。後者にはパスワードで暗号化されたDOCファイルと悪意のあるマクロが含まれています。マクロが有効化されると、コードマクロはexplorer.exeとSMBプロトコルを使用して侵入されたマシン上で実行可能ファイルを実行します。このEXEファイルはSmartAssembly .NETベースソフトウェアを使用して難読化され、Remcos RATを復号して起動するように設計されています。

特に、最新のキャンペーンは UAC-0050 は少なくとも15,000人のユーザーを対象に、ウクライナの司法機関の合法的に侵害されたメールアカウントを用いています。潜在的な被害者の範囲を考慮すると、CERT-UAは脅威を解消するための緊急措置が必要であると強調しています。

CERT-UA#8150アラートでカバーされたUAC-0050キャンペーンの検出

ウクライナに対するUAC-0050攻撃の増加に伴い、ディフェンダーは脅威検出能力を強化し、侵入からインフラストラクチャを保護する方法を模索しています。SOC Prime Platformは、最新のCERT-UA警報で説明されているUAC-0050グループによる攻撃を阻止するための選別された検出アルゴリズムリストを提供しています。以下のリンクを使用して、セキュリティ通知ID「CERT-UA#8150」に一致するカスタムタグでフィルタリングされた関連Sigmaルールのリストに進みます。

CERT-UA#8150アラートでカバーされたUAC-0050攻撃の検出コンテンツ 

すべてのSigmaルールは MITRE ATT&CK®フレームワークに合わせられており、カスタマイズされたインテリジェンスで強化され、数十のSIEM、EDR、XDR、およびデータレイクソリューションで利用できます。

UAC-0050ハッキング集団に関連する既存のフィッシング攻撃に対抗するためのさらなる検出コンテンツを探していますか？ クリックして 検出を探索 UAC-0050攻撃検出用のThreat Detection MarketplaceからのSOCコンテンツの完全なコレクションにアクセスして、常に敵を先取りしましょう。 

検出を探索

SOCアナリスト、脅威ハンター、CTI専門家は、以下の自動化されたIOCパッケージング機能も利用できます Uncoder IO 検出エンジニアリング用のオープンサーチIDE。最新のCERT-UAの通知からIOCをコピーして 最新のCERT-UAのお知らせ 選択された言語形式に適したカスタム検索クエリに瞬時に変換して、UAC-0050の悪意のある活動をシームレスに探索します。

MITRE ATT&CK コンテキスト

SOCチームのメンバーは、CERT-UA#8150の通知で提供される攻撃の詳細も探究できます。以下の表に飛び込んで、上記Sigmaルールにリンクされたすべての適用可能な敵策、技法、およびサブ技法一覧を、詳細な分析のために見つけてください：