UAC-0198攻撃の検出：敵対者がウクライナ政府機関を標的にしたANONVNC（MESHAGENT）マルウェアを拡散するフィッシングメールを大量に配信

増加する フィッシング攻撃 は、防御者からの即時対応を必要としており、サイバーセキュリティ意識の向上と組織のサイバーハイジーンの強化を強調しています。そして UKR.NETユーザーを標的としたUAC-0102攻撃の後、UAC-0198として記録されている別のハッカー集団がフィッシング攻撃手法を活用し、ウクライナ国家機関を標的とし、広範囲にわたってANONVNC（MESHAGENT）マルウェアを配布して侵害されたデバイスに不正アクセスを得ています。

UAC-0198フィッシング攻撃を検出

ウクライナとロシアの全面戦争3年目にあたり、敵対勢力は悪意のある活動を強化し、しばしばフィッシングを主な攻撃手法として活用しています。 最新のCERT-UA警報では UAC-0198攻撃が強調されており、フィッシング戦術を用いてウクライナ国家機関を狙うANONVNC（MESHAGENT）マルウェアを用いた攻撃です。

セキュリティ専門家が最新のUAC-0198攻撃を特定するのを助けるために、SOC Primeプラットフォームは集合的サイバー防御のための一連の専用Sigmaルールを集約し、以下に列挙しています。

短いファイル名（cmdline経由）

SOC Prime Teamsによるこのルールは、短いファイル名（例: 1.doc, 1.dll, 12.exe）を使用して悪意のあるファイルを特定するのに役立ちます。この検出は、20のSIEM、EDR、データレイクフォーマットと互換性があり、 MITRE ATT&CK®フレームワークに対応し、擬装技術（T1036）が主な技術として挙げられます。

自動開始位置での不審なバイナリ/スクリプト（file_event経由）

このルールは、侵害されたシステムで永続性を保つため、またはより高レベルの特権を得るためにシステム設定をプログラムまたはスクリプトを自動的に実行するように設定する悪意のある活動を検出するのに役立ちます。このルールは24のSIEM、EDR、データレイク技術と互換性があり、ブートまたはログオンして自動開始実行技術に対応するMITRE ATT&CKにマッピングされています。レジストリランキー/スタートアップフォルダー（T1547.001）が主なサブテクニックです。

非企業サービスを介したデータ流入/流出の可能性（dns経由）

敵対者は、データを、制御している別のクラウドアカウントにバックアップを含めて転送することで流出させる可能性があります。周囲の環境に依存することが、誤検知を防ぐための追加フィルタリング措置の実装を必要とする場合があります。このSigmaルールは、非企業サービスを介したデータ流入または流出の可能性を防御者が検出するのに役立ちます。この検出は、20のクラウドネイティブおよびオンプレミスのSIEM、EDR、データレイク技術で使用可能で、クロスプラットフォーム脅威検出を促進します。このルールは、コマンドおよびコントロール戦術に対応し、インバウンドツール転送（T1105）およびウェブサービス上でのデータ流出（T1567）が主な技術として設定されています。

専用コンテンツスタックを確認するには、セキュリティ専門家は以下の 検出を探索 ボタンを押して、すぐにルールリストにドリルダウンできます。また、サイバー防御者は、カスタム「CERT-UA#10647」および「UAC-0198」タグを使用して、Threat Detection Marketplaceでより特化した検出コンテンツにアクセスできます。

検出を探索

セキュリティチームは Uncoder AI に依存して、アラートからの脅威インテルに基づいたIOCのマッチングを簡素化し、提供されたIOCをパフォーマンス最適化されたクエリにシームレスに変換し、選択したハンティング環境で実行できます。 CERT-UA#10647 alert to seamlessly convert provided IOCs into performance-optimized queries that are ready to run in the selected hunting environment. 

ANONVNC（MESHAGENT）マルウェアを拡散するUAC-0198攻撃分析

2024年8月12日、CERT-UAは 新しいCERT-UA#10647アラートを発表し ウクライナ国家機関を標的とした進行中のフィッシング攻撃について、グローバルなサイバー防御コミュニティに通知しました。このキャンペーンの背後にいるUAC-0198ハッキング集団は、ウクライナ安全保障庁を装ってスピアフィッシングメールを大量にばらまきます。COMP CERT-UAは、ウクライナの州および地方政府機関で稼働するものを含む、100台以上の侵害されたコンピューターを既に特定しています。

悪意のあるメールには「Documents.zip」という名前のファイルをダウンロードするリンクが含まれています。クリックすると、リンクがMSIファイルをダウンロードし、その結果として悪意のあるANONVNC（MESHAGENT）ソフトウェアのインストールを引き起こします。これにより、標的システムへの不正かつ隠されたアクセスが可能になり、感染がさらに広がります。

ANONVNCは、MESHAGENTマルウェアと同一の設定ファイルを特徴としています。MESHAGENTのソースコードが GitHubで公開されている ことは、この攻撃で使用されたコードがそこから採用された可能性を示唆しています。したがって、CERT-UAの研究者は発見されたマルウェアを一時的にANONVNCと呼び、「MESHAGENT」を括弧内に入れて対応する悪意のあるサンプルとの類似性を際立たせています。

最近確認されたフィッシング攻撃は少なくとも2024年7月以来、サイバー脅威の領域で騒ぎを引き起こしており、地理的な範囲が広がる可能性があります。2024年8月1日現在、UAC-0198による進行中のキャンペーンに関連するpCloudファイルサービスディレクトリで千以上のEXEおよびMSIファイルが発見されています。

ウクライナを超えて拡大する可能性のあるUAC-0198の悪意ある活動によるフィッシング攻撃のリスクの増大は、より大規模なサイバー防御能力の強化の緊急性を強調しています。SOC Primeは、 世界最大かつ最も重要なプラットフォームを運営しています グローバルな脅威インテリジェンス、クラウドソーシング、ゼロトラスト、AIに基づく集合サイバー防御により、セキュリティチームは、リソースの効率を最大化しながら、あらゆる規模と複雑さの新しい脅威に対して積極的に防御できます。