UAC-0056の脅威アクター、ウクライナを標的にしたフィッシングキャンペーンで再びCobalt Strike Beaconマルウェアを配信

ホットなニュースとして 7月5日のサイバー攻撃 を受けたウクライナの国家機関を標的とし、悪名高いUAC-0056ハッキング集団に帰属され、さらに別の悪意あるキャンペーンがこのグループによってサイバー領域で波紋を呼んでいます。2022年7月11日、サイバーセキュリティ研究者である CERT-UA は、ウクライナ戦争のトピックに関連した誘いの件名および悪意のある添付ファイルを利用したフィッシング攻撃が進行中であると、世界中のコミュニティに警告しました。後者のサイバー攻撃では、攻撃者は再びフィッシングメール攻撃のベクトルを使用して Cobalt Strike Beacon マルウェアを配布しています。今回は、ウクライナ政府の機関の侵害されたメールアカウントから悪意あるメールが広まっています。  

UAC-0056 グループ攻撃検出：マルウェア活動を迅速に識別するためのSigmaルール

ウクライナを標的とする最新のメールキャンペーンに関連して、UAC-0056ハッキンググループの悪意ある活動をサイバーセキュリティの専門家が迅速に識別できるよう支援するため、SOC Primeのプラットフォームは以下のリンクで利用可能ないくつかの検出アルゴリズムを提供しています。 

UAC-0056脅威アクターの悪意ある活動を見つけるためのSigmaルール

上記に参照された Sigmaルール および複数のSIEM、EDR、XDRフォーマットへの翻訳にアクセスできるのは登録済みのSOC Primeユーザーのみです。  

関連する検出コンテンツをより簡単かつ迅速に検索できるようにするため、すべてのSigmaベースのルールには、それに応じて #UAC-0056 タグが付きます。また、検出コンテンツは MITRE ATT&CK®フレームワーク に沿ったもので、関連するサイバー攻撃の脅威者の戦術と技術に対応し、そうすることで関連する脅威のコンテキストを包括的に可視化します。詳細については、UAC-0056がウクライナ当局を標的としたメールキャンペーンに関する私たちの 以前のブログ記事 を参照してください。ATT&CKに基づいて脅威のコンテキストを詳しく掘り下げることができます。 

SOC Primeのプラットフォームに登録済みのサイバーセキュリティの実務者は、Cobalt Strike Beaconマルウェアを検出するためのSigmaルールの包括的なリストも探ることができ、以下の Detect & Hunt ボタンをクリックしてください。さらに、SOC Primeは業界初の検索エンジンツールを提供しており、セキュリティチームが特定のCVE、マルウェア、APT、またはエクスプロイトをブラウズし、即座にMITRE ATT&CKリファレンス、CTIリンク、検出にリンクされたWindows実行可能バイナリなどを含む洞察に満ちた脅威のコンテキストと共に関連するSigmaルールのリストを取得することが可能です。 Explore Threat Context ボタンをクリックして、登録プロセスなしでCobalt Strike Beaconに関連するすべての検索結果を見つけてください。

Detect & Hunt Explore Threat Context

Cobalt Strike Beacon マルウェア配布：UAC-0056によるウクライナ当局を狙った別の攻撃の概要

最新の警報 CERT-UA#4941 では、ウクライナの人道危機に関連する件名の大量配布される悪意あるメールについて警告しています。 フルスケールの現在進行中の戦争 が2月24日に勃発しました。問題のメールには、潜在的な被害者を騙して開かせるための類似の誘いファイル名を持つXLSドキュメントが添付されています。後者は、開かれると実行可能ファイル“baseupd.exe”を起動し、それがターゲットシステムにCobalt Strike Beaconをドロップする可能性があります。 

特に、最新のサイバー攻撃は、感染拡大に選ばれたマルウェアの種類やこのメールキャンペーンの背後にいるサイバー犯罪者を含めて、 以前の悪意あるキャンペーン と多くの類似点を共有しています。敵対者のTTPsに基づいて、このサイバー攻撃は“SaintBear”としても知られるUAC-0056ハッキンググループに帰属されています。

ウクライナを標的とするUAC-0056脅威アクターの悪意ある活動は、2022年3月のフィッシングキャンペーンに遡る歴史があり、 Cobalt Strike Beacon、GrimPlant、GraphSteel マルウェアサンプルを広めました。さらに、これらの脅威アクターは、 WhisperGate データワイピングマルウェアを利用したウクライナに対する破壊的なサイバー攻撃にも関連付けられています。 

メール攻撃ベクトルを利用したサイバー攻撃からより良い保護を確保するために、多要素認証をメールセキュリティの追加層として適用することが強く推奨されます。

サインアップ SOC PrimeのDetection as Codeプラットフォーム に登録することで、脅威の複雑さとデータ品質の課題をシームレスに解決するためのオールインワンソリューションを見つけることができます。脅威ハンティングと検出エンジニアリングスキルを向上させる新しい方法を探していますか？ Threat Bounty Program に参加して、あなたのスキルセットを継続的な経済的利益に変え、業界ピア間での認知や自己啓発のための豊富な機会を得ましょう。SigmaやYARAルールを作成し、それらをコミュニティと共有し、SOC Primeのクラウドソースの取り組みを通じて検出努力を収益化しましょう。