UAC-0102フィッシング攻撃の検出:ハッカーがUKR.NETウェブサービスを偽装して認証データを盗む

[post-views]
7月 26, 2024 · 6 分で読めます
UAC-0102フィッシング攻撃の検出:ハッカーがUKR.NETウェブサービスを偽装して認証データを盗む

政府機関職員、軍事関係者、その他のウクライナ企業および組織のスタッフの間では、企業のメールアカウントと共に公共のメールサービスを利用することが一般的な慣行です。しかし、対抗者がこれらのサービスを悪用し、 フィッシング攻撃を仕掛ける可能性があります。ディフェンダーは最近、人気のUKR.NETサービスに偽装したウェブリソースを使用してユーザーの認証データを盗むことを目的とした新たな攻撃活動を発見しました。

UAC-0102 フィッシング攻撃分析

2024年7月24日、CERT-UAの研究者は新しい注意喚起を発表し、 CERT-UA#10381で、UKR.NETユーザーを標的とした進行中のフィッシング攻撃を知らせました。2024年7月を通じて、UAC-0102グループはHTMLファイルを含むアーカイブの添付ファイルを配信するメールを送信してきました。これらのファイルを開くと、UKR.NETサービスを装った詐欺サイトにリダイレクトされ、認証データの盗難につながる可能性があります。

ターゲットユーザーが偽のウェブサービスを利用して認証情報を入力すると、その認証データは攻撃者に送信され、被害者の影響を受けたコンピュータには誘導ファイルがダウンロードされます。

進行中のUAC-0102フィッシング攻撃のリスクを最小限に抑え、企業が攻撃の範囲を縮小するために、 CERT-UAは推奨しています 二要素認証の有効化、公的なメールサービスの公式コンピュータでの使用を避け、受信メールのコピーを転送するフィルターを設定し、既存のセキュリティツールを使用してメールの遡及的な分析を可能にすること。

UKR.NETになりすましたUAC-0102フィッシング攻撃を検出してウクライナのビジネスをターゲットにする

ウクライナでの 全面戦争の三年目に、攻撃勢力は常に悪意のある活動を増加させ、侵入を続けるためにフィッシング攻撃のベクトルに頻繁に依存しています。たとえば、2024年7月17日、CERT-UAは UAC-0180による悪意あるキャンペーンを報告し、フィッシングメールを用いてGLUEEGG、DROPCLUE、ATERAをウクライナ防衛請負業者のネットワークにドロップしました。最新のCERT-UAアラートでは、ウクライナの企業から機密データを盗むためにフィッシングを使用するUAC-0102攻撃についても警告しています。

サイバー防御者がUAC-0102攻撃から自らのインフラを積極的に特定して確保するのを助けるために、SOC Primeの集団サイバー防御プラットフォームは、敵が行った最新のフィッシングキャンペーンを検出するSigmaルールセットへのアクセスを提供します。

メールクライアントからの直接アーカイブ抽出(プロセス作成経由)

SOC Primeチームによるこのルールは、メールクライアント(アーカイブが添付ファイルである場合)を介してアーカイブ抽出を検出するのに役立ち、27のSIEM、EDR、およびデータレイク技術に対応しています。検出はMITRE ATT&CK®にマップされており、初期アクセス戦術に対応し、Spearphishing Attachment (T1566.001) を主要なサブテクニックとしています。

疑わしいファイルダウンロード 直接IP(プロキシ経由)

SOC Primeチームによる別のルールは、IPv4アドレスから直接ダウンロードされる疑わしい実行可能ファイル、スクリプト、バイナリ、またはその他のファイルタイプを識別するのに役立ちますが、これは通常ではありません。検出アルゴリズムは22のSIEM、EDR、およびデータレイクソリューションに対応し、MITRE ATT&CKのコマンド&コントロール戦術およびIngress Tool Transfer (T1105) Webプロトコル (T1071.001) にマップされています。

セキュリティチームは、敵識別子に基づいて「UAC-0102」タグを使用して関連する検出コンテンツを検索することもできます。 検出を探す ボタンをクリックしてUAC-0102攻撃に関連するSigmaルールを詳細に調べ、悪意のある活動の背後にある包括的な脅威の背景に取り組んでください。これにはCTI、ATT&CKのリファレンス、および他の関連メタデータが含まれます。

検出を探す

さらに、防衛者は CERT-UA#10381アラートから提供される最新のUAC-0102フィッシング攻撃に関連するインジケーターを活用できます。 Uncoder AI を活用して、脅威インテルをカスタムIOCクエリに即座に変換し、選択したSIEMまたはEDR環境でUAC-0102活動をハントします。

CERT-UA#10381の研究に基づくUAC-0102活動に関連するIOCをハントするには、Uncoder AIを使用します

新興の脅威およびどんな規模や複雑さのサイバー攻撃にも先んじるため、 SOC Primeのプラットフォーム を使用して、グローバルな脅威インテリジェンス、クラウドソーシング、ゼロトラスト、AIに基づく集団サイバー防御を行いましょう。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
ブログ, 最新の脅威 — 6 分で読めます
UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
Veronika Telychko
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
ブログ, 最新の脅威 — 6 分で読めます
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
Veronika Telychko
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
ブログ, 最新の脅威 — 5 分で読めます
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
Veronika Telychko