UAC-0218攻撃検知:敵対者がHOMESTEELマルウェアを使用してファイルを盗む
目次:
「Rogue RDP」攻撃の後を追う形で ウクライナの国家機関と軍事部隊を標的にし、フィッシング攻撃の手法を悪用する CERT-UAの研究者たちは 請求書関連の件名を使ったメールを活用し、HOMESTEELマルウェアを用いてファイルを盗むフィッシング攻撃の新たな波を発見しました。UAC-0218グループが継続中の敵対行動の背後にいるとされています。 HOMESTEELマルウェアを使用したUAC-0218攻撃を検出する
ウクライナの組織を標的とする敵対者キャンペーンが増加し、多数のハッカーグループが多様な攻撃ツールを試す中、防御者はサイバーセキュリティ意識を高め、組織のプロアクティブな防御を支援しています。共同サイバー防御のためのSOC Primeプラットフォームは、関連するCERT-UA#11717アラートに対応するUAC-0218活動検出のためのSigmaルールを最近公開しました。
「Press
対応する 30以上のプラットフォームオプションから選択したSIEM、EDR、またはデータレイク形式に変換するか、「UAC-0218」および「HOMESTEE」タグをグループIDと対応するCERT-UAの研究で言及されたマルウェアに基づいて適用し、脅威検出マーケットプレイスライブラリから関連するコンテンツを直接検索します。 に準拠し、コンテンツ検索の便宜を図るためにCERT-UAの研究識別子に基づくカスタムタグでフィルタリングされた専用のSigmaルールスタックにアクセスできます。 30以上のプラットフォームオプションから選択したSIEM、EDR、またはデータレイク形式に変換するか、「UAC-0218」および「HOMESTEE」タグをグループIDと対応するCERT-UAの研究で言及されたマルウェアに基づいて適用し、脅威検出マーケットプレイスライブラリから関連するコンテンツを直接検索します。 サイバーセキュリティ専門家もまた、CERT-UA#11717に関連するUAC-0218活動に関連する脅威情報に基づいたIOCベースのハンティングを迅速化できます。ファイル、ホスト、またはネットワークのIOCがシームレスに解析され、カスタムクエリに変換され、たった数クリックでUncoder AIを使用して環境フォーマットにマッチさせることが可能です。
CERT-UA#11717研究でカバーされているUAC-0218活動分析
10月24日、CERT-UAチームは「インボイス」や「詳細」といった請求書関連の件名が付されたフィッシングメールの配布に関する情報を受け取りました。RARアーカイブをダウンロードするためにeDiskにリンクしているように見せかけています。調査によれば、UAC-0218のハッカーグループに帰属する現在の悪意のあるキャンペーンは少なくとも2024年8月から活動しています。 Uncoder AI.
UAC-0218 Activity Analysis Covered in the CERT-UA#11717 Research
On October 24, the CERT-UA team received information regarding the distribution of phishing emails that contained billing-related lure subjects like “invoice” and “details” with a link allegedly leading to eDisk for the download of similarly named RAR archives. According to the research, the ongoing malicious campaign attributed to the UAC-0218 hacking group has been active since at least August 2024.
CERT-UA#11717アラート によれば、上記のアーカイブには2つのパスワード保護されたデコイドキュメントとVBSスクリプト「Password.vbe」が含まれていました。 このスクリプトには、%USERPROFILE%フォルダから5階層までの特定の拡張子を持つファイルを再帰的に検索するコードが含まれていました。このコードは、発見された10MBを超えないファイルをHTTP PUTリクエストを使用して敵対者のサーバーに抽出するように設計されています。さらに、設定されている場合にプロキシサーバーの使用を促進し、各HTTPリクエストのURI値に盗まれたファイルの完全なパスが含まれていました。
調査では、1行のPowerShellコマンドを含む実行ファイル(自己解凍型コンパイルアーカイブ)が発見されました。このコマンドのロジックは、%USERPROFILE%ディレクトリ内の特定の拡張子を持つファイルを再帰的に検索し、それをHTTP POSTを介してC2サーバーに転送する機能を実装しています。ファイルの完全なパスもURIの一部として送信されました。
特筆すべきは、制御インフラストラクチャの特徴として、HostZealotとして追跡されたドメインレジストラやPythonを使用したWebサーバーの実装を含めています。
ウクライナとその同盟国を対象とするフィッシング攻撃がますます増えている中で、グローバルなサイバー防御者コミュニティは、対抗勢力に対して戦略的な優位性を持つための強靭な能力を求めています。SOC Primeは、フィッシング攻撃を積極的に阻止し、悪意のある侵入をタイムリーに特定し、組織固有の業界で最も挑戦的な新たな脅威に先んじるためのAI駆動の検出エンジニアリング、自動化された脅威ハンティング、そして高度な脅威検出のための完全な製品スイートをセキュリティチームに提供しています。
MITRE ATT&CKの文脈
UAC-0218による最新のウクライナ攻撃で利用された悪意のあるTTPについて包括的な文脈を手に入れ、積極的に防御するために深掘りします。対応するATT&CK戦術、技術、サブ技術に対応する専用のSigmaルールセットを見るために、以下の表を参照してください。 CERT-UA#11717アラートからUAC-0218活動に関連するIOCを検索するためにUncoder AIを使用します attacks against Ukraine and its allies, the global cyber defender community is seeking resilient capabilities to gain a strategic edge over offensive forces. SOC Prime equips security teams with a complete product suite for AI-powered detection engineering, automated threat hunting, and advanced threat detection to proactively thwart phishing attacks, timely identify malicious intrusions, and stay ahead of any emerging threats that are most challenging the organization-specific industry.
MITRE ATT&CK Context
Dive into malicious TTPs leveraged in the latest UAC-0218 attack against Ukraine to have a comprehensive context at hand and defend proactively. Refer to the table below to view the entire set of dedicated Sigma rules addressing the corresponding ATT&CK tactics, techniques, and sub-techniques.
