UAC-0114 グループ別名 Winter Vivern 攻撃検出:ハッカーがウクライナとポーランドの政府機関を標的にしたフィッシングキャンペーンを開始

[post-views]
2月 03, 2023 · 7 分で読めます
UAC-0114 グループ別名 Winter Vivern 攻撃検出:ハッカーがウクライナとポーランドの政府機関を標的にしたフィッシングキャンペーンを開始

グローバルサイバー戦争の 発生以来、、ウクライナおよびその同盟国の国家機関は、複数のハッカー集団によって仕掛けられた多様なマルウェアキャンペーンの標的となってきました。脅威アクターは、2022年12月のサイバー攻撃でDolphinCape、FateGrab/StealDealマルウェアを配布するような敵対キャンペーンを実行するために、フィッシング攻撃ベクトルを頻繁に活用しています。 DolphinCape and FateGrab/StealDeal マルウェア。

2023年2月1日、CERT-UAのサイバーセキュリティ研究者は 新しいCERT-UA#5909警告を発表しました。この中で、防御者の注意を偽のウェブページに引き付け、ウイルススキャンツールに偽装したソフトウェアをダウンロードするようターゲットユーザーに促す状況に言及しています。この詐欺的なウェブページは、ウクライナ外務省の公式ウェブリソースに成りすましており、侵害されたシステムにマルウェアを拡散するために使用されます。これらの攻撃の背後にあるハッカー集団には、ロシアに関連するサイバー犯罪者が含まれている可能性があります。

UAC-0114/Winter Vivern活動: 国家機関を標的とした最新のキャンペーンの分析

悪名高い ロシア支持のSandworm APTグループ(別名UAC-0082)によるさらに別の悪質なキャンペーンの直後に、ウクライナの国家機関は、ポーランド共和国の政府機関とともに再びフィッシング攻撃を受けています。

最新の CERT-UA#5909警報 は、ウクライナおよびポーランドの政府機関を標的とした進行中の悪意あるキャンペーンの詳細を提供しています。このサイバー攻撃において、ハッカーはウクライナ国家機関の公式ウェブリソースに成りすました偽のウェブページを利用して、被害者に悪意のあるソフトウェアをダウンロードさせます。

感染チェーンは、偽のウイルススキャンソフトウェアへの誘導リンクをたどることから始まり、悪意のある「Protector.bat」ファイルのダウンロードにつながります。後者は一連のPowerShellスクリプトを起動し、中にはデスクトップカタログを特定の拡張子を持つファイルを検索するために再帰的な検索アルゴリズムを適用するスクリプトも含まれています。拡張子には、.edb、.ems、.eme、.emz、.keyなどが含まれます。このスクリプトは、画面キャプチャやHTTPを介したさらなるデータの流出も可能です。敵対者は、スケジュールタスクを使用したマルウェアの持続性技術のセットも活用しており、これにより攻撃の検出が挑戦されます。

CERT PolskaとCSIRT MONとの協力により、サイバー防御者は、ウクライナおよびポーランドの政府機関の公式ウェブページを装った類似のフィッシングウェブリソースを発見しました。ウクライナ外務省、ウクライナ安全保障局(SBU)、およびポーランドの警察を含みます。特に、2022年6月には、ウクライナ防衛省のメールサービスのUIを装った類似のフィッシングウェブページが見られました。

この悪意のある活動は、Winter Vivernハッカー集団に帰属されるUAC-0114として追跡されています。これらのフィッシングキャンペーンで使用される敵対者のTTPは、PowerShellスクリプトの使用やマルウェアスキャンに関連するメールの件名の誘引など、非常に一般的です。このハッカーグループにはロシア語を話すメンバーが含まれている可能性が高く、使用されたマルウェアの1つであるAPERETIFソフトウェアには、ロシアに関連する敵対者の行動パターンに典型的なコードラインが含まれています。

CERT-UA#5909警告で取り扱っています

SOC Primeは、ウクライナとその同盟国がロシア関連の悪意のある活動から積極的に防御するのを助けるため、最前線に立っています。SOC PrimeのDetection as Codeプラットフォームは、CERT-UA#5909警告に取り上げられたUAC-0114グループによる最近のフィッシングキャンペーンに関連するマルウェアの存在をタイムリーに識別するチームを支援するために、Sigmaルールのバッチを作成しています。すべての検出は、 MITRE ATT&CK®フレームワークv12 に整合し、業界をリードするSIEM、EDR、XDR技術と互換性があります。

アクセスのための Explore Detections ボタンをクリックして、ウクライナとポーランドに対するフィッシング攻撃の背後にあるUAC-0114グループに典型的なTTPを検出するためのSigmaルールの包括的なリストにアクセスしてください。すべての検出アルゴリズムは、対応するカスタムタグ「CERT-UA#5909」と「UAC-0114」によってフィルタリングされ、CERT-UA警告およびグループ識別子に基づいています。また、セキュリティエンジニアは重要なサイバー脅威のコンテキスト、ATT&CKおよびCTIの参照、緩和策、運用メタデータに関連する情報を掘り下げて、脅威調査を促進することができます。

Explore Detections

IOCベースの脅威ハンティングを最大限に活用し、アドホックな手動タスクを一瞬で短縮するために、セキュリティエンジニアは、UAC-0114の脅威アクターによって進行している攻撃に関連するIOCクエリを、即座に生成することができます。 Uncoder CTIを使用して。関連する CERT-UA#5909警報からファイル、ホスト、またはネットワークのIOCを貼り付け、カスタムIOCクエリをその場で作成し、選択したSIEMまたはXDR環境で関連する脅威を検索する準備が整います。

Uncoder CTI: CERT-UA#5909警告からのIOCクエリ

MITRE ATT&CKコンテキスト

UAC-0114別名Winter Vivernグループによる最新のフィッシングキャンペーンの詳細なコンテキストについて、すべての専用Sigmaルールは、関連する戦術と技術に対処するためにATT&CKにマッピングされています。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 9 分で読めます 最新の脅威 Koskeマルウェア検出:AI生成による新たなLinux脅威が出現 by Veronika Telychko AI脅威インテリジェンス 22 分で読めます SIEM & EDR AI脅威インテリジェンス by Veronika Telychko CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 11 分で読めます 最新の脅威 CyberLock、Lucky_Gh0$t、Numeroの検出:ハッカーが偽のAIツールインストーラーを武器化してランサムウェアやマルウェア攻撃を実施 by Veronika Telychko
すべてのニュース