UAC-0200攻撃検出: 攻撃者がSignalを利用してウクライナ公共部門を標的にしたフィッシング攻撃を展開し、DarkCrystal RATを拡散

[post-views]
6月 06, 2024 · 6 分で読めます
UAC-0200攻撃検出: 攻撃者がSignalを利用してウクライナ公共部門を標的にしたフィッシング攻撃を展開し、DarkCrystal RATを拡散

2022年の ロシア・ウクライナ戦争の開始以来、攻撃的な作戦が大幅に増加し、地政学的緊張が世界の企業に与える深刻な影響が浮き彫りになっています。複数のハッキンググループは引き続きウクライナを試験場として利用し、彼らの攻撃範囲を欧米の政治舞台にまで拡大しようとしています。CERT-UAは最近、政府機関、軍事、及び防衛機関に対する標的型サイバー攻撃の新たな急増について報告しており、これにはSignalメッセンジャーを通じて拡散されるDarkCrystal RATマルウェアが使用されています。

UAC-0200攻撃分析

2024年6月4日、CERT-UAは新しい CERT-UA#9918に関する警告を Signalメッセンジャーを利用した新たなフィッシングキャンペーンについて発表しました。UAC-0200として追跡されているハッキング集団は、ウクライナの国家機関、公共職員、軍関係者、防衛分野の代表者を対象とした新たな悪意のある作戦の背後にいます。これらの対象者は主にSignalを信頼できる通信手段として利用しています。

ハッカーは、受信者の連絡先リストや共有グループからの送信者を装って、被害者にSignal経由で送信された悪意のあるファイルを開かせようと試みます。この戦術はこれらのメッセージの信頼性を高め、洗練されたフィッシング攻撃の潜在的な被害者に対する脅威を一層高めています。

攻撃者はアーカイブ、パスワード、およびコンピュータ上でマルウェアを含む有害なファイルを開く必要性を強調するメッセージを送ります。通常、上記のアーカイブにはVBEファイル、BATファイル、EXEファイルを含むRARSFXアーカイブとして実行可能ファイル(拡張子「.pif」や「.exe」など)が含まれています。実行すると、標的のコンピュータがDarkCrystal RATマルウェアに感染し、システムへの隠れた不正アクセスを可能にします。

防御者は、一般的なメッセンジャーを初期の攻撃ベクターとして悪用し、正当なアカウントを侵害するサイバー攻撃の増加傾向を指摘しています。すべての場合において、被害者はコンピュータ上でファイルを開くように誘導されており、不正侵入のリスクを回避するための特定の警告として考慮すべきです。

CERT-UA#9918アラートに記載されたUAC-0200の侵入検出

信頼されたメッセージングアプリケーションを悪用してマルウェアを拡散させるサイバー攻撃の継続的な増加パターンは、敵の意図に巧妙に乗せられる可能性がある組織にとって高まるリスクをもたらします。最新のCERT-UA#9918アラートに応じて、Signalを悪用してDarkCrystal RATを拡散するUAC-0200攻撃について防御者に警告するために、SOC Primeは即座に関連する検出アルゴリズムのセットを策定しました。

クリックして 検出を探索 ボタンを押して、該当するCERT-UA#9918アラートに含まれるUAC-0200活動検出のためのSigmaルール一覧に行くことができます。すべての検出は、CERT-UAの研究識別子に基づくカスタムタグでフィルタリングされており、セキュリティチームがコンテンツの検索と選択を迅速化するのに役立ちます。この検出スタックで提供されるTTPベースのSigmaルールは、MITRE ATT&CK®にリンクされており、分散エコシステムで活動する組織のために検出エンジニアリング操作を簡略化する、クラウドネイティブおよびオンプレミスの市場をリードするSIEM、EDR、およびデータレイクソリューションと互換性があります。別の方法として、セキュリティチームは敵の帰属に基づいて「UAC-0200」タグを使用して関連する検出にアクセスすることもできます。 MITRE ATT&CK® およびクラウドネイティブおよびオンプレミスのマーケットリーディングSIEM、EDR、およびデータレイクソリューションと互換性があり、分散エコシステムで活動する組織のために検出エンジニアリング操作を簡略化します。セキュリティチームはまた、敵の帰属に基づく「UAC-0200」タグを使用して関連する検出にアクセスすることもできます。

検出を探索

CERT-UA#9918レポートで提供されるファイル、ホスト、またはネットワークベースのIOCの検索を簡素化するために、 CERT-UA#9918レポートをセキュリティエンジニアはSOC Primeの Uncoder AI を利用して、組み込みのIOCパッケージャーを使用することができます。このソリューションは、選択したSIEMまたはEDR形式と互換性のあるパフォーマンス最適化されたIOCクエリへの脅威インテリジェンスの自動変換を可能にします。

CERT-UA#9918アラートからUncoder AIを使用してIOCを探索

MITRE ATT&CKコンテキスト

MITRE ATT&CKを活用することにより、サイバー防御者は最新の攻撃作戦とUAC-0200に関連するTTPsの文脈について詳細な洞察を得ることができるでしょう。下の表をチェックして、関連するATT&CK戦術、技術、およびサブ技術に対応する特定のSigmaルールの包括的なリストを確認してください。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約

関連記事

UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
ブログ, 最新の脅威 — 6 分で読めます
UAC-0226 Attack Detection: New Cyber-Espionage Campaign Targeting Ukrainian Innovation Hubs and Government Entities with GIFTEDCROOK Stealer
Veronika Telychko
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
ブログ, 最新の脅威 — 6 分で読めます
UAC-0219攻撃検出:PowerShellスティーラーWRECKSTEELを利用した新しいサイバー諜報活動
Veronika Telychko
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
ブログ, 最新の脅威 — 5 分で読めます
UAC-0200攻撃検出:DarkCrystal RATを使用したウクライナの防衛産業部門および武装勢力を標的とするサイバー諜報活動
Veronika Telychko