UAC-0063攻撃検出：ハッカーがHATVIBE、CHERRYSPY、CVE-2024-23692を使用してウクライナの研究機関を標的に

全面戦争の発生以来、 ウクライナで、 サイバー防御者は、ウクライナの国家機関からの情報を収集することを目的としたサイバー諜報活動キャンペーンの増加を確認しました。さらに、同じ戦術、技術、手法が、北アメリカ、ヨーロッパ、アジアを含む広範な地理にターゲットとして適用されています。具体的には、2023年5月に、 UAC-0063グループがサイバー諜報活動キャンペーンを開始しました ウクライナ、中央アジア、イスラエル、インドを対象としています。そして今、 CERT-UAによる最新の警報は、 同じハッキング集団によって組織されたウクライナの研究機関に対する現在進行中の攻撃作戦についてサイバー防御者に警告します。

CERT-UA#10356警報に基づくUAC-0063活動の検出

UAC-0063グループは、ウクライナの学術部門を標的にしたサイバー脅威の舞台に戻りました。グループの、多様な攻撃者ツールキットや複数の感染ベクトルを初期攻撃の段階で試行する能力は、積極的な防御の必要性を強調しています。SOC Primeの協力的サイバー防御プラットフォームは、AI駆動の検出エンジニアリング、自動化された脅威ハンティング、検出スタック検証のための完全な製品スイートをキュレートし、組織が迅速に侵入を特定し、サイバーセキュリティの姿勢をリスク最適化できるようにします。下のリンクをフォローすることで、セキュリティ専門家は、最新のUAC-0063攻撃者活動に対応する包括的な検出スタックに即座にアクセスし、警報IDに基づく「CERT-UA#10356」タグでフィルタリングできます。

CERT-UA#10356警報に基づくUAC-0063攻撃検出のためのSigmaルール

すべての検出アルゴリズムは MITRE ATT&CK®フレームワークにマッピングされ、実行可能なCTIとメタデータで強化され、クラウドネイティブおよびオンプレミスの多数のセキュリティ分析プラットフォームにデプロイする準備が整っています。

UAC-0063に起因する最新かつ永続的なサイバー攻撃に対抗するために、セキュリティエンジニアは、下の 検出の探索 ボタンをクリックして、より関連性のあるSOCコンテンツにアクセスできます。

検出の探索

CERT-UAは、 IOCのコレクション を提供しており、UAC-0063グループの最新の活動に関連する脅威を検出します。SOC Primeの Uncoder AIを活用することで、 防御者は関連する脅威情報を選択されたSIEMまたはEDRの言語フォーマットに合わせてカスタムパフォーマンス最適化クエリに即座に変換し、選択した環境内でのハンティングに準備ができた状態でIOCのマッチングを簡素化できます。

UAC-0063最新の活動解析

CERT-UAの研究者は、 新たな悪意あるキャンペーンを発見しました UAC-0063ハッキング集団に帰属するものです。敵は2024年7月8日に、ウクライナの研究機関に対する攻撃を開始し、HATVIBEおよびCHERRYSPYマルウェアを利用しました。

初期感染段階で、攻撃者は従業員のメールアカウントにアクセスし、最近送信されたメールを元の送信者を含む多数の受信者にコピーして送信します。特に、元の添付ファイルは、マクロを含む別のドキュメントに置き換えられます。

DOCXファイルを開き、マクロを有効化することで、別のマクロを含んだファイルが生成され、コンピュータで開かれます。後者は、HATVIBE「RecordsService」マルウェアのエンコードされたHTAファイルの作成と開封をし、「C:WindowsSystem32TasksvManageStandaloneService」というスケジュールタスクファイルを伴って悪意のあるサンプルを起動するように設計されています。

さらに、攻撃者はPythonインタープリタとCHERRYSPYマルウェアを”C: ProgramDataPython”ディレクトリにダウンロードし、隠れたリモート制御の技術的能力を利用しています。以前のバージョンはpyArmorで難読化されていましたが、最新のバージョンは.pyd（DLL）ファイルにコンパイルされています。

注目すべきことに、最近観測されたUAC-0063アクターの活動は、 APT28グループ（UAC-0001）に関連付けられている可能性があります。ロシア連邦軍総参謀本部の主指令局と直接リンクされています。さらに、2024年7月16日にアルメニアからアップロードされた類似のマクロを含むDOCXファイルがVirusTotalで見つかりました。このファイルの釣り餌は、キルギス共和国国防省国際軍事協力部を代表して、アルメニア共和国国防省防衛政策部に向けたテキストを含んでいます。

さらに、2024年6月中に、防御者はHFS HTTPファイルサーバーの脆弱性（おそらくCVE-2024-23692）の悪用を通じたHATVIBEバックドアのインストールの複数の事例を観察しました。これにより、UAC-0063グループが初期妥協に多様な攻撃ベクトルを適用していることが示されます。

UAC-0063の侵入リスクを最小限に抑えるために、防御者はメールアカウントに対して二要素認証を有効にし、マクロ、mshta.exe、およびPythonインタープリタを含む、潜在的に危険なソフトウェアの実行をブロックするポリシーを適用し、現行のサイバー脅威状況に典型的な業界のベストプラクティスと勧告に従うことを強く推奨します。

MITRE ATT&CK コンテキスト

MITRE ATT&CKを活用することで、ウクライナの研究機関に対する最新のUAC-0063攻撃に関連する行動パターンへの広範な視認性を提供します。以下の表を参照して対応するATT&CK戦術、技術、およびサブ技術に対応する専用のSigmaルールの完全なリストをご覧ください。