UAC-0188攻撃検出：ハッカーがSuperOps RMMを悪用してウクライナへの標的型攻撃を開始

脅威アクターは、フィッシング攻撃ベクターを通じてサイバー攻撃でリモート管理ツールを頻繁に利用しています。例えば、 Remote Utilities ソフトウェア は、ウクライナに対する攻撃キャンペーンで大いに悪用されています。 CERT-UA と CSIRT-NBは、リモート管理ソフトウェアを使用したUAC-0188に起因する標的型サイバー攻撃を最近特定しました。敵対者は、人気のあるSuperOps RMMツールを悪用してウクライナの組織のコンピューターへの不正アクセスを獲得していました。

CERT-UA#9797 調査でカバーされた UAC-0188 活動の検出

正当なソフトウェアを悪用したフィッシング攻撃の露出と影響の増加は、積極的なサイバー防御を強化する必要性を強調しています。SOC Prime プラットフォームは、攻撃的目的で SuperOps RMM を活用し、ウクライナを標的とし、ヨーロッパやアメリカに攻撃の範囲を拡大する可能性のある最新の悪意のある活動を検出するためのSigmaルールの収集を提供します。検索の利便性のために、検出アルゴリズムはグループまたは調査の識別子に基づいてカスタムタグ「UAC-0188」または「CERT-UA#9797」でフィルタリングできます。

SOC Prime プラットフォームにログインし、 検出を探索 button to instantly drill down to the relevant detection stack enriched with actionable metadata, aligned with the MITRE ATT&CK®フレームワークに整合し、使用している複数のセキュリティ分析ソリューションに展開する準備が整っています。

検出を探索

正当なリモート管理ツールを悪用する同様の攻撃に対して積極的に防御するために、セキュリティエンジニアはこのリンクで利用可能な関連検出スタックに追加されたより多くのSOCコンテンツを活用することもできます。 このリンク.

CERT-UA は、UAC-0188の最新活動に関連する脅威を探すためのIOCのリストも提供しています。 SOC Prime の Uncoder AIを活用することで、検出エンジニア、脅威ハンター、およびSOCアナリストは、関連する脅威インテルを使用して、カスタムIOCクエリに変換し、使用しているSIEMまたはEDRの言語フォーマットに適したIOCマッチングを瞬時に合理化できます。

UAC-0188 攻撃分析

2024年5月23日、CSIRT-NBUとCERT-UAは新しいCERT-UA#9797警告を発表し、正当なリモート管理SuperOps RMMツールを武器化したウクライナに対するフィッシング攻撃についてグローバルサイバー防衛コミュニティに警告しました。この悪意ある活動はUAC-0188ハッキング集団に関連づけられています。 ドロップボックスへのリンクを含むフィッシングメールによって感染フローが誘発され、実行可能SCRファイルのダウンロードに至ります。後者はPyInstallerを使用して作成され、“マインスイーパー”ゲームの正当なPythonコードと28MBのbase64エンコード文字列を含みます。プログラムコードの残りは、Pythonコードのダウンロード、デコード、実行です。ダウンロードされたPythonコードの主な機能は、「create_license_ver」関数を「Minesweeper」から呼び出し、ダウンロードされたスクリプトからのbase64エンコード文字列と初期SCRファイルに含まれる28MB base64文字列の組み合わせを引数にすることです。

文字列を連結してデコードすると、ZIPアーカイブを得ることができ、それを展開して正当なSuperOps RMMソフトウェアを表すMSIファイルを実行します。このプログラムをコンピューターで実行することで、敵は第三者に対して不正なリモートアクセスを獲得できます。

Concatenating and decoding the string leads to obtaining a ZIP archive, which extracts and executes an MSI file representing the legitimate SuperOps RMM software. Running this program on the computer enables adversaries to gain unauthorized remote access to third parties

CERT-UA は敵のTTPに関するさらなる研究を行いました。SCRファイルの特徴を使用して、ヨーロッパおよびアメリカの金融および保険機関にちなむ名前の5つの類似ファイルが見つかりました。研究によれば、発見されたサイバー攻撃は2024年の2月から3月までには開始され、敵は影響の地理的範囲を拡大しています。

正当なSuperOps RMMを使用していない組織は、最新のUAC-0188操作に関連する攻撃を予防するため、*.superops.comおよび*.superops.aiドメインに関連するネットワーク活動がないことを確認することを推奨します。

MITRE ATT&CK コンテキスト

MITRE ATT&CKを活用することで、サイバー防衛者はUAC-0188に関連する攻撃的操作およびTTPに関する詳細な洞察を得ることができます。以下の表をチェックして、関連するATT&CK戦術、技術、サブ技術に対応する特定のSigmaルールの包括的なリストを表示してください。