UAC-0125攻撃検出：ハッカーがCloudflare Workers上の偽サイトを利用し「Army+」アプリケーションを悪用

に続いて、 UAC-0099によるサイバースパイキャンペーンが フィッシング攻撃ベクターを経由して、ウクライナの組織を標的とするサイバー脅威の場で、もう1つのハッカー集団が進化しています。CERT-UAは、防御者に対し、クラウドフレアワーカーズサービスを使用してホストされている「Army+」アプリケーションの公式ページを模倣した偽のウェブサイトの発見について通知しています。この悪意のある活動は、UAC-0125グループに関連しており、悪名高いロシア支援のハッカー集団であるUAC-0002（サンドワームとしても知られる）と高い確率で関連しています。 サンドワーム).

CERT-UA＃12559アラートでカバーされたUAC-0125攻撃を検出

政府機関、軍および防衛機関、重要なインフラ部門を標的としたサイバー攻撃の増加は、ロシアのウクライナに対する全面戦争以来、サイバー前線で騒ぎを引き起こしています。 CERT-UA#12559 警告は、ロシアのUAC-0002グループ（サンドワームAPTとしても知られる）に関連する強い証拠とともに、UAC-0125敵対者の活動に対する関心の高まりを助長し、サイバーセキュリティ警戒の強化の必要性を示しています。 共同サイバー防衛のためのSOC Primeプラットフォーム は、CERT-UA#12559警報で取り上げられた攻撃を事前に阻止するための関連検出スタックでセキュリティチームを装備します。 

クリック 検出を探索 し、専門のSOCコンテンツにアクセスするか、クラスタ識別子またはCERT-UA警報IDに基づいた脅威検出マーケットプレイスを検索する際に対応するカスタムタグを使用します。検出アルゴリズムは MITRE ATT&CK® フレームワークに準拠しており、実行可能なサイバー脅威コンテキストを提供しています。 CTI また、運用メタデータも含まれています。セキュリティエンジニアは、検出コードを選択された30以上のSIEM、EDR、またはデータレイク形式のいずれかに自動的に変換することもできます。 

検出を探索

チームはまた、対応する「UAC-0125」タグを使ってアクターの攻撃作戦に関するTTPを調査できます。さらに、最新のUAC-0125活動と高い関連性を持つ敵対者クラスタに関連する検出を探すには「サンドワーム」タグを適用できます。

SOC Primeの Uncoder AIを利用することで、組織は最新のCERT-UA警告で観察されたUAC-0125の攻撃作戦に関連するIOCのマッチングを加速し、使用中の言語形式に一致するカスタムハンティングクエリにIOCをシームレスに変換できます。

UAC-0125攻撃分析

2024年12月17日、CERT-UAはMIL.CERT-UAの専門家から、「Army+」アプリケーションの公式ページを偽装したいくつかの不正なウェブサイトの発見に関連する情報を受け取りました。Army+は、ウクライナ国防省とウクライナ武装軍の総参謀部が協力してウクライナ軍のエコシステムを変革し、軍事人員の要求を解決するために作成されました。

対応する CERT-UA#12559 警告によれば、これらの偽のウェブサイトを訪問すると、ユーザーは実行可能ファイル「ArmyPlusInstaller-v.0.10.23722.exe」をダウンロードするように促され、ファイル名は変更される可能性があります。

この実行可能ファイルは、NSIS（Nullsoft Scriptable Install System）を使用して作成されたインストーラーであり、.NET誘導ファイル「ArmyPlus.exe」の他に、Pythonインタープリターファイル、Torプログラムアーカイブ、およびPowerShellスクリプト「init.ps1」を含んでいます。

“ArmyPlusInstaller-v.0.10.23722.exe”ファイルが開かれると、誘導ファイルとPowerShellスクリプトが実行されます。後者は、侵害されたシステムにOpenSSHをインストールし、RSA鍵ペアを生成し、認証用の公開鍵を追加し、「curl」を介して攻撃者に秘密鍵を送信し、Torを通じて隠されたSSHサービスを公開するために設計されています。これらすべての操作により、攻撃者は被害者のコンピューターへのリモートアクセスを可能にし、さらなるシステムの侵害を促進します。この敵対者の活動は、UAC-0125識別子の下で追跡されており、ロシア関連のUAC-0002クラスタ（ UAC-0133、APT44、 UAC-0082、またはサンドワーム）の高い関係があります。この悪名高いサンドワームAPTグループは、ウクライナの国家機関や重要インフラ機関を10年以上にわたって標的にしています。彼らは、2015-2016年の ブラックアウトを引き起こしたBlackEnergy、2017年のグローバル NotPetya キャンペーン、および2022年のウクライナの電力施設に対する Industroyer 2 や様々なデータワイピングマルウェアを使用した攻撃に責任を負っています。2024年前半には、攻撃者の初期の侵入ベクトルとしてトロイの木馬化されたコンポーネントを含むMicrosoft Officeパッケージが使用され、「CommunicatorContentBinApp.cmd」ファイルとPowerShellコマンドが含まれていました。

MITRE ATT&CKコンテキスト

ATT&CKを適用することで、セキュリティチームは最新のCERT-UAレポートで詳述されているように、ウクライナに対する最新の悪意のあるキャンペーンに関与するUAC-0125のTTPに関する貴重な洞察を得ることができます。以下の表は、関連するATT&CK戦術、技術、サブ技術に対するシグマルールの包括的なコレクションを提供しています。