UAC-0099 活動検出: ハッカーがウクライナの国家機関とメディア組織に対してサイバー諜報活動を行う

[post-views]
6月 06, 2023 · 6 分で読めます
UAC-0099 活動検出: ハッカーがウクライナの国家機関とメディア組織に対してサイバー諜報活動を行う

ほんの数週間前、CERT-UAはグローバルなサイバー防衛コミュニティに対して、 進行中のサイバースパイ活動 について警告を発し、それはウクライナとUAC-0063グループに関連する中央アジアの組織を標的にしています。

6月初旬、CERT-UAの研究者たちは 別の警告を発表しました。 これは、主にメール攻撃の手法を利用して、ウクライナの政府機関や情報収集を目的とした編集機関を狙った長期的なサイバースパイ活動をカバーしています。これらのサイバー攻撃の背後にいるハッカー集団UAC-0099は、2022年後半からウクライナに対して標的を絞ったサイバースパイ活動を行ってきました。

UAC-0099のサイバースパイ活動分析

最新の CERT-UA#6710警告 は、ウクライナの政府とメディア機関を狙っているUAC-0099に起因する進行中の悪意ある活動をカバーしています。2022年から2023年にかけて、脅威アクターはウクライナの組織に関連する数十台のコンピューターに不正なリモートアクセスを得ており、改ざんされたシステムから情報を収集しようとしています。

研究者によれば、脅威アクターは悪意のあるリンク、実行ファイル、アーカイブ、HTML文書ファイルを電子メールやメッセンジャーで大量に配布し、起動するとターゲットシステムにLONEPAGEマルウェアを感染させます。LONEPAGEはPowerShellベースのマルウェアで、通常JavaScriptかVBScriptコードを使用して、リモートサーバーから“upgrade.txt”ファイルをダウンロードし、その後悪意あるPowerShellコマンドを実行してシステムを侵害し、盗まれたデータをHTTP POSTリクエストでサーバーに送信します。

さらに、敵対者は影響を受けた環境に他の悪意のあるストレイン、例えばChromeやOperaブラウザ用のTHUMBCHOP情報窃取ツール、CLOGFLAGキーロガー、TORやSSHソフトウェアをダウンロードして、侵害されたコンピュータへの隠密サービスをリモートアクセスのために作成することができます。また、インシデント対応の段階で、CERT-UAの研究者はSEAGLOWやOVERJAMなど他のGOベースのマルウェアサンプルを発見しました。

調査に基づいて、UAC-0099のハッカーは、影響を受けた環境から横方向への移動を行い、ローカル計算ネットワークをスキャンし、特権アカウントを侵害し、企業情報システムへのアクセスを得ることも観察されました。

組織が脅威を軽減する支援のために、サイバー防御者はwscript.exe、cscript.exe、powershell.exe、mshta.exeなどの特定の正当なコンポーネントのユーザーのワークステーション上での実行能力を制限することを推奨しています。

CERT-UA#6710警告にカバーされたUAC-0099サイバースパイ活動の検出

UAC-0099サイバースパイ活動に関連する潜在的な悪意のある活動を検出するために、SOC Prime Platformは集団サイバー防御のための幅広いSigmaルールのコレクションを提供します。セキュリティ専門家は、CERT-UAの警告とグループ識別子に基づいて、対応するカスタムタグ“CERT-UA#6710”および“UAC-0099”を使用して検出をフィルタリングし、コンテンツ検索を効率化できます。

Explore Detections 」ボタンをクリックして、最新のUAC-0099キャンペーンを検出する専用Sigmaルールの完全なリストにアクセスしてください。すべてのルールは MITRE ATT&CK®フレームワークv12に整合し、詳細なサイバー脅威コンテキストで補強され、28を超えるSIEM、EDR、XDRソリューションと互換性があります。特定のセキュリティニーズに対応します。

Explore Detections

SOCチームは、UAC-0099サイバースパイ活動に関連する妥協の指標を検索して、 Uncoder AIを利用することで、脅威の検出速度を向上させることができます。ファイル、ホスト、ネットワークの CERT-UAが提供したIOC をツールに貼り付けて、ターゲットのクエリのコンテンツタイプを選択し、選択された環境ですぐに実行可能なパフォーマンス最適化されたIOCクエリを作成します。 

MITRE ATT&CK コンテキスト

CERT-UA#6710警告で取り上げられた最新のUAC-0099サイバースパイ攻撃のより広いコンテキストを確認するために、関連するすべてのSigmaルールには、関連する戦術と技術に対応するATT&CK v12タグが付けられています。

Tactics 

Techniques

Sigma Rule

Initial Access

Phishing (T1566)

Defense Evasion

System Script Proxy Execution (T1216)

Hide Artifacts (T1564)

Masquerading (T1036)

System Binary Proxy Execution (T1218)

Execution

Command and Scripting Interpreter (T1059)

Scheduled Task/Job (T1053)

Discovery

System Information Discovery (T1082)

System Network Configuration Discovery (T1016)

Persistence

Boot or Logon Autostart Execution (T1547)

Command and Control

Ingress Tool Transfer  (T1105)

 

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

UAC-0099攻撃検知:ハッカーがMATCHBOIL、MATCHWOK、DRAGSTAREマルウェアを使用してウクライナの政府・防衛機関を標的
ブログ, 最新の脅威 — 11 分で読めます
UAC-0099攻撃検知:ハッカーがMATCHBOIL、MATCHWOK、DRAGSTAREマルウェアを使用してウクライナの政府・防衛機関を標的
Veronika Telychko
UAC-0001(APT28)攻撃の検知:ロシア支援の攻撃者がLLM搭載のLAMEHUGマルウェアで安全保障・防衛セクターを標的に
ブログ, 最新の脅威 — 7 分で読めます
UAC-0001(APT28)攻撃の検知:ロシア支援の攻撃者がLLM搭載のLAMEHUGマルウェアで安全保障・防衛セクターを標的に
Veronika Telychko
UAC-0001(APT28)攻撃の検知:BEARDSHELLおよびCOVENANTマルウェアを用いたロシア国家支援グループの活動
ブログ, 最新の脅威 — 11 分で読めます
UAC-0001(APT28)攻撃の検知:BEARDSHELLおよびCOVENANTマルウェアを用いたロシア国家支援グループの活動
Veronika Telychko