UAC-0185(UNC4221)攻撃検出: ハッカーがウクライナの防衛軍と軍産複合体を標的にする

[post-views]
12月 09, 2024 · 6 分で読めます
UAC-0185(UNC4221)攻撃検出: ハッカーがウクライナの防衛軍と軍産複合体を標的にする

ロシアがウクライナへの全面侵攻を開始してから、 防衛組織 は複数のハッキンググループによる フィッシング 攻撃ベクターを介して激しく標的にされています。CERT-UAの研究者は最近、UAC-0185(別名UNC4221)による防衛産業セクター内のウクライナ組織を狙った最新の攻撃を詳らかにしました。 新しいCERT-UAアラートは ウクライナ工業家企業連盟(UUIE)を送信者になりすましているサイバー攻撃をカバーしています。

CERT-UA#12414アラートにカバーされたUAC-0185(別名UNC4221)攻撃を検出

2024年12月7日、CERT-UAは新たなセキュリティ CERT-UA#12414警告を発行し ウクライナの防衛組織に対するフィッシング攻撃と送信者をUUIEになりすます一連のサイバー攻撃についての通知を行いました。増加する洗練されたサイバー攻撃に対抗するために、 ロシアのウクライナに対する全面戦争の開始以来、SOC Primeプラットフォームは、セキュリティチームが積極的なサイバーセキュリティ戦略を採用し、攻撃勢力に先手を打つのを支援します。

クリック 検出を探索 して、最新のCERT-UAアラートにカバーされたUAC-0185(別名UNC4221)グループのサイバー攻撃を積極的に阻止するためのSOCコンテンツの専用コレクションにアクセスしてください。すべての検出アルゴリズムは MITRE ATT&CK® にマッピングされ、実行可能なCTIによって強化されており、深い脅威の調査と強化された防御を確実にします。

検出を探索

または、サイバーディフェンダーはThreat Detection Marketplaceで対応する「UAC-0185」タグを持つハッキンググループのTTPsを扱う検出ルールを検索することができます。

調査を進めるには、セキュリティプロフェッショナルは対応する CERT-UA#12414 アラートで提供されたIOCを使用してインスタントハントを展開できます。SOC Primeの Uncoder AI を利用して、瞬時にカスタムIOCベースのクエリを作成し、お好みのSIEMまたはEDR環境で自動的に利用できます。

Uncoder AIを使用して、CERT-UA#12414アラートからの脅威インテリジェンスに基づくIOCの一致を効率化

UAC-0185(別名UNC4221)の攻撃分析

2024年12月4日、CERT-UAはMIL.CERT-UAからフィッシングルアーを活用した大量のメール配信に関する情報を受け取り、受信者にメールの内容を開くことを促しています。これらのメールはUUIEの送信者を装い、防衛産業の製品をNATO技術標準に移行するという関連する会議の招待状のように装われていました。悪意のある活動への調査は、UAC-0185別名UNC4221がこれに関連するフィッシングキャンペーンに起因することが判明しました。

CERT-UA#12414アラートにカバーされた攻撃の裏にいるハッキング集団は、少なくとも2022年以降サイバー脅威の場で活動しています。対抗者は主にSignal、Telegram、WhatsAppなどの人気のあるメッセージングアプリケーションやDELTA、TENETA、Kropyvaなどの軍事システムを通じた資格情報の盗難に関与しています。さらに、ウクライナの防衛産業部門および防衛隊の関連コンピュータへの不正なリモートアクセスを取得することを目的とした限定的なサイバー攻撃を行います。UAC-0185は通常、 MESHAGENT やUltraVNCを含むカスタムツールを使用します。

メールには犠牲者の注意を引きクリックさせるための誘導ハイパーリンクが含まれていました。クリックすると、対象コンピュータにショートカットファイルのダウンロードが起動されます。このLNKファイルを開くと、mshta.exeユーティリティを介してHTAファイルのダウンロードと実行が開始されます。HTAファイルには2つのPowerShellコマンドを実行するように設計されたJavaScriptコードが含まれていました。1つのコマンドはUUIEからの手紙に似たデコイドキュメントをダウンロードして開き、もう1つは「Front.png」という名前のファイルをダウンロードしました。後者は3つの悪意のあるファイルを含むZIPアーカイブでした。このアーカイブを展開すると、「Main.bat」と呼ばれるファイルが実行されました。

BATファイルは別の「Registry.hta」という名前のファイルをスタートアップディレクトリに移動し、実行して一部のダウンロードされたファイルを削除しました。最後に、前述のHTAファイルはMESHAGENTとして特定されたリモートコントロールプログラムを起動しました。さらに分析により、2023年初頭まで遡るサイバー攻撃に関連した追加のファイルおよび対抗者のインフラが明らかにされました。

MITRE ATT&CKの文脈

MITRE ATT&CKを利用すると、ウクライナ防衛隊および軍事に対する最新のUAC-0185悪意ある活動の行動パターンに対する広範な可視性が提供されます。以下の表で対応するATT&CK戦術、技術、サブ技術を扱う専用のSigmaルールの完全なリストを確認してください。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

UAC-0001(APT28)攻撃の検知:BEARDSHELLおよびCOVENANTマルウェアを用いたロシア国家支援グループの活動
ブログ, 最新の脅威 — 11 分で読めます
UAC-0001(APT28)攻撃の検知:BEARDSHELLおよびCOVENANTマルウェアを用いたロシア国家支援グループの活動
Veronika Telychko
UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
ブログ, 最新の脅威 — 6 分で読めます
UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
Veronika Telychko
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
ブログ, 最新の脅威 — 6 分で読めます
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
Veronika Telychko