UAC-0057攻撃の検出:PICASSOLOADERとCobalt Strike Beaconを配布する敵対者活動の急増

[post-views]
7月 25, 2024 · 7 分で読めます
UAC-0057攻撃の検出:PICASSOLOADERとCobalt Strike Beaconを配布する敵対者活動の急増

防御側は、 UAC-0057 のハッカーグループがウクライナの地方政府機関を標的に活動を急増させたことを観察しました。攻撃者は、 PICASSOLOADER を起動することを目的としたマクロを含む悪意のあるファイルを配布しており、これにより Cobalt Strike Beaconが配信されます。 

CERT-UA#10340アラートにてカバーされたUAC-0057活動の検出

全面戦争の勃発以来、UAC-0057ハッカー集団はウクライナの組織を繰り返し標的にしてきました。最新のUAC-0057キャンペーンを検出し、グループの活動を過去に遡って分析するために、サイバー防御者は、AI駆動の検出エンジニアリング、自動化された脅威ハンティング、検出スタックの検証のための完全な製品スイートを提供するSOC Primeのプラットフォームに頼ることができるかもしれません。  サイバー防御者は、以下のリンクを辿ることで、最新のUAC-0057活動に対処する包括的な検出スタックにアクセスできます。あるいは、「CERT-UA#10340」タグで検出をフィルタリングして、アラートIDに基づいて脅威検出マーケットプレイスを閲覧することもできます。 

By following the link below, security professionals can access the comprehensive detection stack addressing the latest UAC-0057 activity. Alternatively, experts can browse Threat Detection Marketplace filtering detections by the “CERT-UA#10340” tag based on the alert ID. 

CERT-UA#10340アラートに基づくUAC-0057攻撃検出用Sigmaルール

すべての検出アルゴリズムは MITRE ATT&CK®フレームワークにマッピングされ、実行可能なCTIおよびメタデータで強化されており、数十のクラウドネイティブおよびオンプレミスのセキュリティ解析プラットフォームにデプロイする準備が整っています。 

UAC-0057の戦術、技術、手順に対処するためのより広範な検出スタックを取得するには、関連するSigmaルールのコレクションにアクセスするために、以下の 検出を探索 ボタンをクリックしてください。

検出を探索

The 専用のCERT-UAアラート は、最近のUAC-0057キャンペーンに関連する攻撃を特定するためのIOCのコレクションも提供しています。SOC Primeの Uncoder AIを利用することで、防御者は関連する脅威インテリジェンスをカスタムのパフォーマンス最適化されたクエリに即座に変換し、選択したSIEMやEDRの言語形式に合わせて狩る準備が整った状態にすることでIOCのマッチングを簡略化できます。

UAC-0057攻撃分析

GhostWriterとしても知られるUAC-0057グループは、主にウクライナの国家機関を標的にした複数の攻撃作戦を2023年に展開しました。例えば、2023年9月には、 UAC-0057はウクライナ政府と教育機関に対して悪意のあるキャンペーンを開始し、WinRARのゼロデイ(CVE-2023-38831)を悪用してPICASSOLOADERを配信しました。2023年の夏には、同じローダーを利用して& 標的ネットワークにnjRATを感染させました。

2024年7月に、CERT-UAはグループの活動の急増を観察しました。敵対者は、 PICASSOLOADER and Cobalt Strike Beacon を拡散するために悪意のあるマクロを含むファイルを武器化しました。 

最新のCERT-UAアラートによると、 UAC-0057活動の一環として発見されたマクロを含むファイル(「oborona.rar」、「66_oborona_PURGED.xls」、「trix.xls」、「equipment_survey_regions_.xls」、「accounts.xls」、「spreadsheet.xls」、「attachment.xls」、「Podatok_2024.xls」)の内容は、地方政府の改革、税制、および財務経済指標に関連していることが示されています。 on the UAC-0057 activity, the contents of the uncovered files with macros (“oborona.rar,” “66_oborona_PURGED.xls,” “trix.xls,” “equipment_survey_regions_.xls,” “accounts.xls,” “spreadsheet.xls,” “attachment.xls,” “Podatok_2024.xls”) are linked to local government reform, taxation, and financial-economic indicators.

CERT-UAの研究に基づくと、UAC-0057はプロジェクトオフィスの専門家とウクライナの地方自治体の関連当局の職員を標的にした可能性があります。

MITRE ATT&CKの文脈

MITRE ATT&CKを活用することで、ウクライナの地方政府機関を標的とする最新のUAC-0057の悪意ある活動に関連する行動パターンを広範に可視化できます。以下の表を探索して、対応するATT&CKの戦術、技術、およびサブ技術に対する専用のSigmaルールの完全なリストをご覧ください。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

UAC-0001(APT28)攻撃の検知:BEARDSHELLおよびCOVENANTマルウェアを用いたロシア国家支援グループの活動
ブログ, 最新の脅威 — 11 分で読めます
UAC-0001(APT28)攻撃の検知:BEARDSHELLおよびCOVENANTマルウェアを用いたロシア国家支援グループの活動
Veronika Telychko
UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
ブログ, 最新の脅威 — 6 分で読めます
UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
Veronika Telychko
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
ブログ, 最新の脅威 — 6 分で読めます
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
Veronika Telychko