UAC-0063サイバースパイ活動の検出:ハッカーがウクライナ、カザフスタン、キルギスタン、モンゴル、イスラエル、インドの組織を標的に情報収集

[post-views]
5月 23, 2023 · 6 分で読めます
UAC-0063サイバースパイ活動の検出:ハッカーがウクライナ、カザフスタン、キルギスタン、モンゴル、イスラエル、インドの組織を標的に情報収集

ウクライナでの本格的な戦争の勃発以来、サイバー防御者は増大するサイバー諜報活動の キャンペーンを確認しました。 彼らはウクライナの国家機関からの情報収集を目的としています。

2023年5月22日、CERT-UAの研究者は 新たな警告を発表し、 世界のサイバー防御コミュニティに対し、ウクライナの国家機関の情報通信システムを標的とする継続中のサイバー諜報キャンペーンを警告しました。これらの攻撃では、ハッカーがメール攻撃ベクターを使用してウクライナ駐在のタジキスタン大使館を装った偽メールを複数送信しました。この敵対的な活動はUAC-0063として追跡されるサイバー諜報ハッキンググループに起因しており、中央アジア、イスラエル、インドの組織を標的にすることでも知られています。

CERT-UA#6549アラートで取り上げられたUAC-0063のサイバー諜報攻撃分析

最新の CERT-UA#6549アラート は、UAC-0063の脅威アクターの活動に関連するウクライナの国家機関を標的とする継続中のサイバー諜報キャンペーンを指摘しています。研究者によれば、このハッキング集団は2021年以来、悪意のある領域で注目されており、主に標的を絞ったサイバーインテリジェンスと破壊工作活動を行っています。最近のキャンペーンでは、敵対者はメール攻撃ベクターを利用して被害者を誘導し、マルウェアマクロを含む添付ファイルを開かせたり、情報収集のための悪意のあるドキュメントへの直接リンクをクリックさせる手口を使っています。

感染チェーンはドキュメントのダウンロードとマルウェアマクロの起動によりトリガーされ、それがDOCXファイルの作成と開封につながります。後者にもマクロが含まれており、マルウェアファイル「SoftwareProtectionPlatform」を生成する意図の新たなマクロを生成し、スケジュールされたタスクで起動します。

さらに調査によれば、2023年4月25日、複数の悪意のあるソフトウェアであるLOGPIEキーロガーやCHERRYSPYバックドアがコンプロマイズされたシステムに感染し、後者はリモートサーバーから受信したPythonコードの実行を意図していました。脅威アクターは、高度なコード暗号化および難読化メカニズム、PyArmorとThemidaを、解析防止のために適用しました。また、攻撃者はファイル検索と流出のためにC++ファイルスティーラーSTILLARCHを使用し、LOGPIEキーロガーの結果を処理しました。

同様の行動パターンと関連するファイルの分析に基づいて、UAC-0063サイバー諜報グループはカザフスタン、キルギス、モンゴルなどの中央アジアの組織、イスラエル、およびインドの企業も視野に入れていることがわかっています。

攻撃面を減少させるために、CERT-UAの研究者は「mshta.exe」や、WindowsスクリプトホストおよびPythonインタプリタの起動に関するユーザーアカウントの制限を構成することを推奨しています。

UAC-0063のサイバー諜報キャンペーンに関連する悪意ある活動の検出

ウクライナやその同盟国を標的とするサイバー諜報キャンペーンの増加に伴い、サイバー防御者は、ロシアが支援する侵入に proactive に抵抗するために関連するインテリジェンスと検出コンテンツのソースを必要としています。組織が潜在的な悪意ある活動をタイムリーに特定できるよう支援するために、SOC PrimeはCERT-UAの調査で取り上げられた敵対者のツール、テクニック、および手順をアドレスするSigmaルールのバッチを作成しています。すべての検出は、25以上のSIEM、EDR、およびXDRソリューションに互換性があり、それらは MITRE ATT&CKフレームワーク v12にマッピングされており、SOCチームが調査と脅威の特定プロセスを効率化するのに役立ちます。

以下の 検出を探る ボタンをクリックして、UAC-0063の最新のキャンペーンを検出するためのSigmaルールセットを探ってください。コンテンツ検索を簡素化するために、SOC Primeプラットフォームは、アラートとグループ識別子に基づいたカスタムタグ「CERT-UA#6549」と広範なタグ「UAC-0063」によるフィルタリングをサポートしています。

検出を探る

脅威調査を効率化するために、サイバー防御者は Uncoder.IOを使用して、最新のUAC-0063キャンペーンに関連する関連する侵害指標(IoC)を検索することもできます。ファイル、ホスト、またはネットワークの CERT-UAによって提供されたIoC をツールに貼り付けるだけで、選択した環境で即座に実行可能なパフォーマンス最適化されたIoCクエリを作成できます。

UAC-0063のサイバー諜報活動を検出するためのIoCクエリは、Uncoder.IO経由でCERT-UA#6549アラートでカバーされています。

MITRE ATT&CKコンテキスト

UAC-0063による悪意のあるキャンペーンの背景に深く入るため、上記のすべてのSigmaルールは、関連する戦術および技術をアドレスするATT&CK v12でタグ付けされています。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

AI脅威インテリジェンス 22 分で読めます SIEM & EDR AI脅威インテリジェンス by Veronika Telychko APIを通じたUncoder AI機能へのアクセス 2 分で読めます SOCプライムプラットフォーム APIを通じたUncoder AI機能へのアクセス by Steven Edwards Uncoder AIの脅威検出マーケットプレイスを検索する 3 分で読めます SOCプライムプラットフォーム Uncoder AIの脅威検出マーケットプレイスを検索する by Steven Edwards
すべてのニュース