UAC-0050 フィッシング攻撃の検出: ロシア支援グループが大規模に税務関連のフィッシングメールを拡散し、LITEMANAGERを悪用

悪名高いハッカー集団 UAC-0050、ウクライナに対する持続的なフィッシング攻撃で知られる、国家歳入庁からの要求を装ったPDFを添付した税関連のスプーフィングメールを大規模に配布し、標的システムに不正なリモートアクセスを得るためにLITEMANAGERツールを利用していることが観察されています。

CERT-UA#11776警告でカバーされたUAC-0050フィッシング攻撃を検出する

フィッシングを攻撃ベクトルとして利用し、ロシアのUAC-0050ハッカー集団と関連した金融動機の脅威の増加により、セキュリティチームはサイバーセキュリティ意識を向上させ、組織の防御を強化します。LITEMANAGERを利用した不正なリモートアクセスを行うUAC-0050による攻撃を阻止するため、最近の CERT-UA#11776研究、集合的サイバー防衛のためのSOC Primeプラットフォームは、関連する検出アルゴリズムの専用リストをキュレーションしました。

「 検出を探る 」ボタンを押すと、30以上のSIEM、EDR、データレイクソリューションに対応してデプロイが可能な、カスタマイズされたCTIと運用メタデータで強化された、MITRE ATT&CK®に整合した関連するSigmaルールの完全なコレクションを詳しく見ることができます。 MITRE ATT&CK®、30以上のSIEM、EDR、データレイクソリューションに対応してデプロイが可能な、カスタマイズされたCTIと運用メタデータで強化されたMITRE ATT&CK®に整合した所有]

検出を探る

UAC-0050によるサイバー諜報キャンペーンや金融動機の脅威の増加により、セキュリティエンジニアはグループの攻撃から組織のインフラを守るためのより多くの検出コンテンツを求めているかもしれません。Threat Detection Marketplaceで「UAC-0050」カスタムタグを使用して関連する検出を直接検索することで、セキュリティチームはグループの持続的な活動に対抗するためのプロアクティブな防御を強化できます。

セキュリティチームはさらに Uncoder AI を利用して、UAC-0050脅威に関連するIOCの一致を加速し、関連するCERT-UA研究からのIOCを追跡できます。Uncoder AIは、任意の非バイナリ形式からISOの一へルIOCを選択したSIEMまたはEDR形式にマッチするカスタムハンティングクエリに自動的に変換します。

LITEMANAGERを使用したUAC-0050の攻撃説明

CERT-UAの研究者は、ロシアと関連する UAC-0050グループ による長期間の活動を徹底的に監視し、最近 深掘り研究 を発行し、サイバー諜報、金融窃盗、「Fire Cells Group」ブランドで知られる偽情報作戦を含むその攻撃活動の3つの主要な領域を強調しました。

UAC-0050は2020年以来活動しているロシア関連のハッカーグループで、主にウクライナの公共部門をターゲットにしており、同国の同盟国にも活動を拡げています。敵対者はフィッシングキャンペーンを利用して Remcos RATのようなマルウェアを配布し、しばしばウクライナ政府機関を装ったスプーフィングメールで悪意のある添付ファイルを送ります。特に UAC-0050 はリモート管理ツールを大いに武器化しており、 Remote Utilitiesソフトウェアなどを使用してウクライナに対するキャンペーンに用いています。

最新のCERT-UA警告 CERT-UA#11776 は、ウクライナ国家歳入庁の要求を装ったPDF添付の税関連のフィッシングメールの大規模な配布を明らかにしました。この進行中のキャンペーンは金融動機に基づいており、主にリモートバンキングシステムを利用する企業の会計係を標的にしています。コンピュータフォレンジック分析が示すように、初期感染から資金の窃盗までの時間は1時間未満になることもあります。

フィッシング攻撃ベクトルを介して送信された、武器化された添付ファイルは、ファイル共有サービス（qaz.im, qaz.is, qaz.su）へのリンクを含んでおり、それに従うと悪意のあるアーカイブがダウンロードされます。後者は複数のネストレベルを持ち、「Electronic Request for Tax Service Documents.pdf.rar」と呼ばれるパスワード保護されたアーカイブを含み、これには「Electronic Request for Tax Service Documents.pdf.exe」と命名されたSFXファイルが伴っています。

これらを開くと、デコイ文書が表示され、コンピュータ上でLITEMANAGERリモート管理ソフトウェアのMSIパッケージが起動し、システムへの密かなリモートアクセスのための技術的条件が作られます。

UAC-0050の金融動機の攻撃に対する潜在的な緩和策は、組み込みのオペレーティングシステムのセキュリティ対策を構成し、銀行情報システムでのアカウント操作の認証にワンタイムコードを利用して、完全に認証機能を活用することが含まれます。

SOC Primeの 完全な製品スイート は、AIを駆使した検出技術、脅威ハンティングの自動化、高度な脅威検出のために、セキュリティチームに金融動機の脅威やデータ侵害のリスクを最小限に抑えるための包括的なソリューションを提供します。

MITRE ATT&CKのコンテクスト

MITRE ATT&CKを活用することで、LITEMANAGERを悪用した最新のUAC-0050攻撃に関する詳細なインサイトを得ることができます。対応するATT&CK戦術、技術、サブ技術を扱った専用のSigmaルールの総合セットを見るには、以下の表をご参照ください。[wptb id=19027。