UAC-0149 Attacks Ukrainian Defense Forces Using Signal, CVE-2023-38831 Exploits, and COOKBOX Malware

[post-views]
4月 22, 2024 · 6 分で読めます
UAC-0149 Attacks Ukrainian Defense Forces Using Signal, CVE-2023-38831 Exploits, and COOKBOX Malware

The UAC-0149 脅威アクター は、COOKBOXマルウェアを使用してウクライナの政府および軍事組織を繰り返し標的にしています。CERT-UAによる最新の調査では、フィッシングSignalメッセージとCVE-2023-38831エクスプロイトを活用してターゲットにCOOKBOXを展開する新たな攻撃について詳細を報告しています。

UAC-0149 攻撃の詳細

UAC-0149 ハッキング集団は、少なくとも2023年秋以来、ウクライナに対して悪意のある操作を行っています。2024年初頭、CERT-UAは ウクライナ軍に対する対象攻撃 を明らかにし、悪名高いCOOKBOXマルウェアが偽のSignalメッセージを通じて配信されていると報告しました。

4月18日に CERT-UAは新たな警告を発し COOKBOXを活用した侵入の新たな波について警告しました。UAC-0149に帰せられる最新の作戦では、ハッカーはマルウェアが仕込まれた文書を添付した悪意のあるSignalメッセージでウクライナ国防軍の代表をターゲットにしています。偽の文書は国連平和維持活動部門における職位への応募を指しており、「Супровід.rar 」というアーカイブ内にWinRARソフトウェア向けのCVE-2023-38831エクスプロイトを含んでいます。開くと、悪意のあるRARアーカイブはCMDファイル「супровід.pdf. cmd」が実行され、フィッシング文書「DPO_SEC23-1_OMA_P-3_16-ENG.pdf」が開かれ、PowerShellスクリプトが COOKBOXマルウェア

に関連付けられて起動されます。特筆すべきは、COOKBOXのコマンド・アンド・コントロールサーバーがNoIP動的DNSサービスを活用していることです。NoIPの担当者との協力の下、該当のドメイン名はすでにブロックされています。

この攻撃を受け、CERT-UAはシステム管理者に対し、powershell.exe、wscript.exe、cscript.exe、mshta.exeなどのユーティリティの実行をユーザーに制限することを強く推奨しています。標準的なメカニズムとしてSRP、AppLocker、レジストリ設定を使用することが推奨されます。

CERT-UA#9522アラートで報告されたUAC-0149攻撃を検出

COOKBOXマルウェアを利用したUAC-0149攻撃の波が拡大する中、セキュリティプロフェッショナルは、タイムリーに侵入を検知し、積極的に防御するための信頼できる方法を探しています。SOC Primeプラットフォームは、最新のUAC-0149活動を検出するためにキュレーションされたSigmaルールのセットを集約しており、これは高度な脅威検出とハンティングソリューションと連携しています。さらに、サイバー防御者はカスタムタグをCERT-UAアラートID「CERT-UA#9522」に基づいて関連する検出スタックを検索できます。

CERT-UA#9522アラートで報告されたUAC-0149活動を検出するためのシグマルール

すべての検出アルゴリズムは MITRE ATT&CK®フレームワークv.14.1に準拠しており、関連する脅威情報と実行可能なメタデータで強化されており、多様なSIEM、EDR、データレイク言語形式に瞬時に変換可能であり、検出エンジニアリングオペレーションを超スケールします。

UAC-0149攻撃の包括的なカバレッジを求めるサイバーセキュリティ専門家は 検出を探索 というボタンをクリックすると、グループのTTPや行動パターンに対応する広範なルールコレクションに即座にアクセスできます。

検出を探索

脅威調査を効率化するために、 Uncoder AI、検出エンジニアリングのための業界初のAIコパイロットを信頼して、 CERT-UA#9522アラートで提供されたインジケーターオブコンプロマイズをすぐに追跡してください。Uncoder AIはIOCパッケージャーとして機能し、CTIやSOCアナリストおよび脅威ハンターがIOCをシームレスに解析し、選択したSIEMまたはEDRで実行するためのカスタムハンティングクエリに変換できるようにします。

UAC0149_IOCs_UncoderAI

MITRE ATT&CK コンテキスト

MITRE ATT&CKを利用することで、最新のUAC-0149攻撃に関連する挙動パターンに関する広範な可視性を提供します。以下の表を探索して、対応するATT&CK戦術、技術、サブ技術に対応する専用のシグマルールの完全なリストを確認してください。

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。

関連記事