UAC-0050攻撃の検出：ロシア支援のAPTがウクライナに対してサイバー諜報、金融犯罪、偽情報作戦を実行

The UAC-0050 ハッキング集団 ウクライナに対する長年の攻撃作戦で悪名高い彼らが、サイバー脅威の舞台に再び登場します。CERT-UAの研究者たちは、グループの活動を長年にわたって調査しており、その主な焦点はサイバースパイ活動、金融犯罪、情報および心理作戦という3つの重要な方向に定められています。「Fire Cells Group」として追跡されるこれらの活動には、最近観察された金融動機によるサイバー犯罪も関連しています。 UAC-0006 ハッキンググループ.

UAC-0050 攻撃作戦の検出 

ロシア関連のハッキング集団によるウクライナの組織に対するサイバー攻撃がますます頻繁かつ高度化する中、組織は潜在的な侵入から事前に防御するために信頼できる検出リソースを必要としています。UAC-0050に起因する脅威の増大と、UAC-0006との協力により、ウクライナに対するサイバースパイ活動、金銭的利益、およびその他のサイバー攻撃活動が中心となるため、防御側のさらなる注意力と迅速な対応が求められます。 SOC Prime プラットフォーム 集合的サイバー防御のためのプラットフォームは、関連するCERT-UAの研究で取り上げられたサイバー攻撃を事前に阻止するための完全な検出スタックをセキュリティチームに提供します。

をクリックして 検出を探索する ボタンを押して、「 MITRE ATT＆CK® フレームワーク」にマッピングされたSigmaルールの専用コレクションにアクセスできます。これは、カスタマイズされたインテリジェンスで充実しており、30以上のSIEM、EDR、およびデータレイク言語形式に変換可能です。 

検出を探索する

セキュリティエンジニアは、関連する 「UAC-0050」 and 「UAC-0006」 タグを使用することで、SOC Prime プラットフォームから上述の敵対活動に関連するサイバー攻撃を防ぐためのさらなる検出コンテンツにアクセスすることもできます。 

さらに、サイバー防御者は Uncoder AI を利用して、関連する CERT-UA アラートで提供されるUAC-0050およびUAC-0006活動に関連するファイル、ネットワーク、またはホストのIOCを即座にハントできます。Uncoder AI にIOCを貼り付け、それらをカスタムのパフォーマンス最適化されたハンティングクエリに自動変換し、SIEMまたはEDR環境で実行できます。

「Fire Cells Group」ブランドに関連するUAC-0050攻撃分析

UAC-0050は2020年以来活動しているロシア関連のハッキンググループで、主にウクライナの国家機関をターゲットにしています。彼らはフィッシングキャンペーンを通じて Remcos RAT マルウェアを配布しており、多くの場合、 ウクライナ保安庁 を装い、悪意のある添付ファイルが付いたメールを送信しています。Remcos RATに加えて、グループは Quasar RAT と Remote Utilities もウクライナとその同盟国に対するキャンペーンで活用しています。 

CERT-UAは最近新しい研究を発表し 、主にサイバースパイ活動、金融動機による脅威、「Fire Cells Group」ブランドとして知られるグループのサイバー活動に焦点を当てたUAC-0050の攻撃作戦を観察しました。2024年9月から10月にかけて、UAC-0050は少なくとも30件のアクセス権限のないウクライナの会計事務所のコンピュータへの侵入を試みました。彼らは REMCOS/TEKTONITRMS ソフトウェアを使用して、ウクライナの企業および個別の起業家から資金を盗み、それらの攻撃にはリモートバンキングシステムを通じて金融取引を作成または偽造することが含まれていました。盗難は、最初の侵入から数日から数時間以内に発生しました。UAC-0050および2013年以来活動中の別のハッキング集団である UAC-0006がこれらの窃盗の主要な関係者であり、盗まれた資金はほとんどの場合、暗号通貨に変換されます。UAC-0006グループは金銭的利得を動機とした作戦で悪名高く、リモートバンキングサービスへのアクセス、認証資格情報の窃取、不正な支払いの実行といった共通の行動パターンを示しています。

自らの犯罪活動を財政的に支える能力により、UAC-0050およびUAC-0006はサイバー攻撃を強化し、さらに脅威を引き起こすための多種多様なツール、ライセンスソフトウェアを含む物品を購入することが可能になります。これが彼らがREMCOS、TEKTONITRMS、 MEDUZASTEALER, LUMMASTEALER、XENORAT、SECTOPRAT、MARSSTEALER、DARKTRACKRATなどの広範囲のプログラムを使用している理由です。

また、「Fire Cells Group」ブランドの下で行われる情報および心理作戦、例えば虚偽の爆破予告、契約殺人、財産への脅迫などもUAC-0050の活動の一部であることが判明しています。

UAC-0050の攻撃を軽減するため、金融機関の顧客には、モバイルアプリを通じた追加の認証を含む、支払い行動を確認するための技術的方法を導入するようアドバイスされています。リモートバンキングシステムを利用する会計士には、追加の支払い認証が有効になるまで金融取引を控えることをCERT-UAは推奨しており、ソフトウェア制限ポリシー（SRP/AppLocker）が有効であることを確認し、保護ソフトウェアを使用することを推奨しています。サイバースパイ作戦、金銭的動機による脅威、およびあらゆる洗練された攻撃をタイムリーに阻止するために、SOC Primeは 完全な製品スイート を提供しており、AIによる検出エンジニアリング、自動化された脅威検索、高度な脅威検出を駆使して、積極的な防御を実現します。 

MITRE ATT＆CK コンテキスト

MITRE ATT＆CKを活用することで、UAC-0050と関連した最も攻撃的な作戦のコンテキストについて詳細な洞察を得ることができます。最近のCERT-UAレポートでカバーされているこれらの作戦に関連する専用のSigmaルールの包括的なセットを確認するには、以下の表を参照してください。