UAC-0149攻撃検出: ハッカーがウクライナ軍に対して標的型攻撃を開始、CERT-UAが報告

2周年記念日の2日前に、 ロシアによる全面侵攻の、CERT-UAの研究者はウクライナ軍に対する進行中のフィッシング攻撃を発見しました。UAC-0149グループに関連付けられた敵対的キャンペーンは、ターゲットシステムを感染させるためにCOOKBOXマルウェアを活用しました。

COOKBOXマルウェアを用いたUAC-0149攻撃分析

CERT-UAは、情報通信システムサイバーセキュリティセンター及び軍事ユニット А0334との協力のもと、対応する CERT-UA#9204警報においてウクライナ軍に対する標的型攻撃を明らかにしました。UAC-0149グループは少なくとも2023年秋以降、悪意のある作戦を行っていました。

2024年2月22日、複数の軍関係者が、Signalメッセンジャーを通じて報告の課題に関連する「1_ф_5.39-2024.xlsm」という名のエクセルファイルを受け取りました。正当なマクロに加えて、このファイルには「mob2002.data」というPowerShellスクリプトをダウンロード、デコード、および実行するためのPowerShellコマンドを実行するように設計されたVBAコードが含まれていました。

GitHubからダウンロードされたPowerShellスクリプトは、オペレーティングシステム（OS）のレジストリ修正を実行します。これには、Base64でエンコードされた形式の主要なペイロードの書き込み、「HKEY_CURRENT_USERSOFTWAREMicrosoftXboxCache」ブランチへのBase64でエンコードされた形式のデコーダーランチャーの書き込み、「Run」オートスタートブランチに「xbox」というレジストリキーを作成し、デコーダーを実行しメインペイロードを実行することを目的として含まれます。この後者はデコード後、GZIP解凍を行い、悪意あるCOOKBOXプログラムを実行する別のPowerShellスクリプトを含んでいます。

COOKBOXマルウェアは、PowerShellコマンドを読み込み、実行するためのPowerShellスクリプトです。感染したデバイスごとに、コンピュータ名とディスクシリアル番号の組み合わせに基づいて、暗号変換（SHA256/MD5ハッシュ関数）を使用してユニークな識別子が計算されます。この識別子は、C2サーバとの通信時にHTTPリクエストの「X-Cookie」ヘッダーに送信されます。

COOKBOXマルウェアの持続性は、OSレジストリの「Run」ブランチに対応するレジストリキーを介して達成されます。このキーは、COOKBOXデプロイヤーを含むサードパーティのPowerShellスクリプトによって初期感染段階で作成されます。通常、コードはキャラクターエンコーディング、キャラクター置換（replace()）、Base64エンコーディング、GZIP圧縮などの難読化を利用しています。UAC-0149ハッカーは、C2インフラストラクチャ管理にダイナミックDNSサービスとCloudflare Workersを適用しています。

ディフェンダーは、インフラストラクチャが適切に保護されていない場合に、敵対者がCOOKBOXマルウェアを使用してターゲットシステムを感染させることに成功したことを観察しました。cmd.exe、powershell.exe、mshta.exe、w(c)script.exe、hh.exeなどの実行ユーティリティの実行を試みることをブロックしないデバイスは、攻撃に対して脆弱であることが多かったです。特にMicrosoft Officeプログラム（例：EXCEL.EXE）によって親プロセスとして起動された場合、攻撃の可能性が高まりました。特に、あるケースでは、正しく設定されたEDR保護により、敵対者の試みが失敗したため、最良のサイバーセキュリティの実践を維持し、サイバー防御を強化する必要性が高まります。

ウクライナとその同盟国を主に公共部門で標的にしたサイバー攻撃が急増しているため、先見的な組織は、積極的なサイバー防衛戦略と革新能力によってバックアップされたサイバー意識を高めようと努力しています。「 Attack Detective」を活用することで、組織は検出カバレッジの盲点をシームレスに特定し、自動化された脅威ハンティング能力を活用し、組織特有の脅威のリスクを最小限に抑えてサイバーセキュリティの姿勢を強化できます。

CERT-UA#9204アラートでカバーされたUAC-0149攻撃を検出

セキュリティ専門家によれば、2023年上半期にウクライナを攻撃したロシア支援のAPTグループ（約40グループの攻撃数）は、以前よりも増加し、洗練されています。今回は、ウクライナ軍がCOOKBOXマルウェアに依存するUAC-0149による別の悪意あるキャンペーンの標的になりました。

セキュリティ専門家がUAC-0149およびCOOKBOXに関連する疑わしい活動を特定できるようにするため、ソシエーションプライムプラットフォームは、行動に基づく検出アルゴリズムのセットを詳細なメタデータと共に集約しています。すべてのルールは MITRE ATT&CK® v14.1にマッピングされ、28のSIEM、EDR、XDRおよびデータレイクソリューションと互換性があります。「 Explore Detections 」ボタンを押すだけで、キュレーションされたルールセットを詳細に調べることができます。

Explore Detections

または、サイバーディフェンダーは、「UAC-0149」と「CERT-UA#9204」タグを使用し、グループ識別子およびCERT-UAアラートに基づいて関連する検出を検索することができます。

セキュリティエンジニアは、 Uncoder AI ツールを使用してIOCのパッケージングを合理化することもできます。単に CERT-UAによって提供されたIOC を貼り付け、選択された環境でスムーズな脅威調査を実行するために最適化されたクエリに自動変換します。

MITRE ATT&CKコンテキスト

また、セキュリティエンジニアは、UAC-0149攻撃の詳細情報（最新のCERT-UAアラートで提供されたCOOKBOXマルウェアを使用）を確認できます。以下の表を参照し、関連するSigmaルールにリンクされた敵対者TTPの包括的なリストにアクセスし、徹底的な分析を行います：