UAC-0099攻撃の検出：WinRARエクスプロイトとLONEPAGEマルウェアを使用したウクライナ国家機関に対するサイバースパイ活動

The UAC-0099 2022年後半からウクライナに対して標的型サイバー諜報攻撃を展開しているハッカー集団が、サイバー脅威の舞台に再登場。 CERT-UAチーム は、2024年11月から12月にかけて、フィッシング攻撃手段を利用し、LONEPAGEマルウェアを拡散することでウクライナの政府機関を対象にしたグループの悪意ある活動の急増を観察しました。

CERT-UA#12463アラートで取り上げられたUAC-0099攻撃を検出する

増加する サイバー諜報 キャンペーンは、ウクライナおよびその同盟国の政府機関に対するもので、現在のサイバー脅威環境における重要な側面として際立っています。最新の CERT-UA#12463アラートは、ウクライナの公共セクター組織をターゲットとした新しい情報収集活動セットを観察し、CVE-2023-38831の悪用やLONEPAGEマルウェアの配布による感染リスクを最小化するために防御を高める必要性を強調しています。

クリック 検出を確認 対応するCERT-UAアラートで取り上げられたUAC-0099攻撃検出のためのSOCコンテンツのキュレーションリストにアクセスし、グループの adversary operation の2024年11月および12月にわたる焦点を当てています。すべての検出は MITRE ATT&CK® フレームワークにマッピングされ、脅威調査を強化するために関連するサイバー脅威コンテキストを提供します。 CTI および他の主要なメタデータ。セキュリティチームは自動翻訳機能を活用し、検出コードを30以上のSIEM、EDR、およびデータレイク形式に変換して特定のセキュリティ要件に適合させることができます。

検出を確認

セキュリティエンジニアは、対応する「UAC-0099」タグを通じて包括的な検出スタックにアクセスすることで、 actor のサイバー諜報攻撃に関連するTTPを探ることもできます。

また、チームはグループのTTPのIOCパッケージングとレトロスペクティブハンティングを迅速化することができます。利用する Uncoder AI は、最新のCERT-UA研究からIOCを即座に変換し、様々な言語形式に対応したハンティングクエリに変換できます。

UAC-0099攻撃分析

2024年12月14日、CERT-UAは新しい動向を追跡するための追報を発行しました CERT-UA#12463 UAC-0099アクターによるサイバー諜報活動の急増をセキュリティチームに通知しました。2024年11月から12月にかけて、敵対者はウクライナの州の機関、森林部門、法医学機関、工場などを含む公共部門機関を標的とした一連のサイバー攻撃を開始しました。

攻撃者たちはLNKまたはHTAファイルを含むダブルアーカイブ形式の添付ファイルを持つフィッシングメールを介して一般的な行動パターンを適用しました。これらのアーカイブのいくつかには、既知のWinRAR脆弱性CVE-2023-38831へのエクスプロイトも含まれていました。成功した侵害後、LONEPAGEマルウェアは影響を受けたマシンで実行され、コマンドの実行を可能にします。このマルウェアは悪意のあるPowerShellコマンドを実行してシステムを感染させ、HTTP POSTリクエストを通じて盗まれたデータをサーバに送信します。

2023年6月、UAC-0099グループは ウクライナのメディアおよび政府機関に対する長期キャンペーンに関与していることも観察されました 情報収集を目的としています。これらのサイバー諜報作戦では、攻撃者は同様に悪意のある添付ファイルを持つフィッシングメールを利用し、場合によっては同じクリティカルなWinRARソフトウェアの脆弱性を悪用してLONEPAGEマルウェアを配布しました。

攻撃者によって活用された攻撃ツールキットの類似性にもかかわらず、研究者は最新のキャンペーンにおけるグループのTTPの変化を観察しました。特に、LONEPAGEは以前はシステムディレクトリの1つに保存されたVBSファイルとして実装されていましたが、2024年12月には、3DESで暗号化されたファイルと、このファイルを復号し、結果として得られたPowerShellコードをメモリ内で実行する.NETアプリケーションを使用する機能が説明されました。

攻撃者はCloudflareサービスを悪用することでインフラのレジリエンスを確保し、レーダーから逃れ続けています。UAC-0099のサイバー諜報キャンペーンの拡大する範囲、およびその手法、ツール、ターゲットの変化は、グループの適応力に効果的に対抗するために強化されたサイバー警戒の必要性を強調しています。利用 社会防衛のためのSOC Primeプラットフォームを活用して, organizations can proactively thwart attacks of any scale to strengthen their cybersecurity posture without surrendering data.

MITRE ATT&CK コンテキスト

MITRE ATT&CKを活用することで、セキュリティチームは、ウクライナに対するサイバー諜報キャンペーンで使用されたUAC-0099のTTPに関する詳細な洞察を得ることができ、最新のCERT-UAレポートで取り上げられています。以下の表を参照して、関連するATT&CKの戦術、技術、およびサブ技術を扱ったSigmaルールの包括的なセットを確認してください。