UAC-0173 攻撃：ウクライナの司法機関と公証人がAsyncRATマルウェアで大規模に標的

サイバーセキュリティの専門家は、ウクライナの公共および民間部門を狙った悪意のある活動の量が著しく増加していることを観測しています。攻撃側は頻繁に フィッシング攻撃ベクトル を利用して侵入を進めます。 

CERT-UA は通知します ウクライナの司法機関および公証人に対する進行中の悪意のあるキャンペーンについてのサイバー防御者に、大量に配布される誘惑的な件名と公文書に偽装した悪意のある添付ファイルを含むメールです。このようにして、UAC-0173として追跡される攻撃者は、システムに AsyncRATマルウェアを感染させることにより、対象ユーザを侵害しようとします。 

UAC-0173攻撃の説明：司法機関および公証人を狙ったAsyncRATの活用

2023年8月28日、CERT-UAチームが 警報 を発行し、2023年第1四半期以来ウクライナの司法機関および公証人を狙ったUAC-0173攻撃を対象としています。注目の悪意あるキャンペーンは、対象となるメールの配布を含み、BATファイルを含むBZIP、GZIP、およびRARアーカイブを送信しています。BATファイルは ScrubCryptクライプター の助けを借りて作成され、実行されると、影響を受けたシステムにAsyncRATマルウェアをインストールします。キャンペーンは、現地の公証部門および法務省からの公式書簡を指す件名とファイル名を利用しています。 

攻撃チェーンは、PowerShellコードを含むBAT/CMDファイルの実行を伴います。このPowerShellコードは、.NETファイルをデコード、復号、解凍、および起動するよう設計されており、それによってAsyncRATの実行が開始されます。

悪意のある活動はUAC-0173識別子の下で追跡されています。しかし、信頼性の低いレベルで、CERT-UA専門家は攻撃をUAC-0007グループ（BlackNotaryとしても知られる）に帰属させています。

CERT-UA#7372警報にカバーされたUAC-0173の悪意のある活動の検出

ウクライナの公共および民間部門に対するサイバー攻撃の増加に対して、サイバー防御者は潜在的な脅威を事前に特定し軽減するために超高応答性を必要とします。SOC Primeプラットフォームは、セキュリティチームに高度かつ費用対効果の高い脅威検出ツールを提供し、サイバー防御能力を強化し、SOCへの投資価値を最大化します。

進行中のUAC-0173攻撃を事前に検出するために、SOC Primeプラットフォームは、幅広いサイバー脅威インテリジェンスで強化され、 MITRE ATT&CK®フレームワークにマッピングされたキュレーションされたSigmaルールのセットを提供します。すべての検出アルゴリズムは、複数のSIEM、EDR、XDR、データレイク形式にシームレスに変換され、自動変換サポートが提供されます。

すべての検出ルールは、グループおよび警報識別子（「CERT-UA#7372」、「UAC-0173」）にリンクされた関連タグで分類されています。 このタグ付けシステムにより、ユーザーは要件に応じてコンテンツ検索を選択および合理化することができます。 サイバー脅威コンテキストで強化された関連Sigmaルールの完全なコレクションにアクセスするには、以下の 検出を調査 ボタンをクリックしてください。

検出を調査

さらに、サイバー防御者は、可能性のあるAsyncRATマルウェア攻撃を識別するのに役立つ検出ルールのバッチを取得できます。詳細な脅威インテリジェンスを伴ったルール一覧を調査するには このリンク をフォローしてください。 

セキュリティ専門家はまた、 Uncoder AI、SOC Primeの拡張インテリジェンスフレームワークを利用して、最新のCERT-UA警報で提案された侵害指標に基づく即時IOCクエリ生成で脅威研究を加速することができます。

MITRE ATT&CKコンテキスト

SOCチームメンバーは、CERT-UA#7372警報でカバーされた攻撃の詳細を調査することもできます。以下の表に入り、上記のSigmaルールに関連するすべての敵の戦術、技術、およびサブ技術のリストを見つけて徹底的な分析を行ってください: