フォローする 
フィッシングは、サイバー犯罪者の手口において最も効果的な戦術の一つであり、特に緊急の人道的テーマや信頼できるオンラインリソース、正当なシステムツールを悪用して被害者の関与を高める場合に有効です。Europolも、フィッシングがデータを盗むマルウェアの主な配信手段として利用され続けていることを指摘しています。このパターンはCERT-UAが追跡した最新の活動にも明らかに反映されています。ここでは、脅威アクターが人道支援をテーマにした餌や多段階のマルウェア配信を使用してウクライナの組織を標的にしています。
CERT-UAの記事で CERT-UAの記事において、研究者たちは、地元の自治体、公共医療機関、おそらくウクライナ国防軍の代表者を標的にしたUAC-0247キャンペーンを説明しています。この作戦は最終的にAGINGFLYと関連する悪質なツールを展開し、フィッシング、偽装ウェブ配信、正当なWindowsユーティリティの悪用を組み合わせてアクセスを確立し、その後の侵害をサポートしました。
CERT-UAの最新の報告は、ウクライナの民間およびおそらく防衛に隣接するセクターを狙ったフィッシング主導の侵入のもう一波を強調しています。キャンペーンでは、 記事で説明されているように、攻撃者は人道支援をテーマにしたメールを使用して犠牲者をおびき寄せ、最終的にリモートアクセス、資格情報の窃盗、侵害後の活動に関連するAGINGFLYを展開する悪意のあるコンテンツを開かせました。対象として観察されたのは、地元の自治体、公共医療機関(臨床や救急病院を含む)、そしておそらくFPVドローンの操作に関わる個人です。
SOC Primeプラットフォームに登録して、UAC-0247攻撃に対する組織の防御を積極的に支援してください。下の「Explore Detections」を押すと、AIネイティブCTIで豊富にした関連する検出ルールスタックにアクセスでき、MITRE ATT&CK®フレームワークにマッピングされ、広範なSIEM、EDR、およびデータ湖技術と互換性があります。
セキュリティチームは、 「UAC-0247」 タグを使用して、関連する検出を特定し、関連コンテンツの更新を監視することができます。サイバー防御者は、Uncoder AIを活用して、生の脅威インテリジェンスをパフォーマンス最適化されたクエリに変換し、ルールロジックを文書化および改善し、最新のCERT-UAレポートに基づいて攻撃フローを生成することもできます。
UAC-0247攻撃の分析 – 人道的テーマのフィッシングルアーを介してAGINGFLYを配信
CERT-UAによると、攻撃チェーンは人道支援を装ったフィッシングメールから始まりました。犠牲者は、クロスサイトスクリプティング(XSS)を通じて侵害された正当なウェブサイト、またはAIツールで生成された偽のウェブサイトにリダイレクトするリンクをクリックするように促されました。どちらの場合でも、犠牲者に悪意のあるLNKファイルを含むアーカイブをダウンロードして開かせようとすることが目的でした。
起動されると、ショートカットファイルはmshta.exeを悪用してリモートHTAファイルを取得・実行しました。HTAは被害者を欺くためのダミーフォームを表示しながら、同時に実行可能ファイルをダウンロードし、RuntimeBroker.exeなどの正当なプロセスにシェルコードを注入しました。CERT-UAは、キャンペーンのより最近の段階が2段階のローダーに依存していることを指摘し、第2段階では独自の実行形式を使用し、最終的なペイロードは検出と解析を困難にするために追加で圧縮および暗号化されていました。
キャンペーンで特定された次段階のコンポーネントには、リバースシェルスタイルのステージャとして機能したRAVENSHELL、コマンドの実行とコマンド・アンド・コントロールデータの取得が可能なPowerShellベースのツールであるSILENTLOOP、そして操作で使用された主なマルウェアファミリーのAGINGFLYが含まれていました。CERT-UAの関連報告によると、AGINGFLYはリモートコントロール、データ窃盗、およびその後の侵害活動のために設計されています。
キャンペーンはまた、資格情報の窃盗、偵察、および横移動を支援しました。調査官は、Chromiumベースのブラウザからデータを抽出し、メッセージ関連のデータにアクセスし、内部ネットワークをスキャンし、トンネリングツールを使用して侵害された環境を通じてトラフィックをトンネルするためのツールの使用を観察しました。調査したケースの一つでは、ウクライナ国防軍の代表者がSignal経由で配布された悪意のあるZIPアーカイブを使用して標的にされた可能性があることを示唆する法医学的証拠が見つかりました。
この活動への曝露を最小限に抑えるために、CERT-UAはLNK、HTA、JSなどのリスクの高いファイルタイプの実行を制限し、また感染チェーンで頻繁に悪用されるネイティブWindowsツール(mshta.exe、powershell.exe、wscript.exeなど)の使用を制限または注意深く監視することを推奨しています。
MITRE ATT&CKコンテキスト
MITRE ATT&CKを活用することで、最新のUAC-0247活動を文脈化することができます。報告されたTTPに基づき、最も関連性の高い技術にはフィッシング:スピアフィッシングリンク(T1566.002)、コマンドとスクリプトのインタープリタ、プロセスインジェクション(T1055)、C2のためのWebプロトコル/ WebSockets、資格情報アクセス、およびトンネリングとプロクシングツールを介した横移動が含まれる可能性が高いです。このマッピングは、フィッシングルアー、偽装ウェブ配信、LNKからHTAへの実行、シェルコード注入、AGINGFLYの展開、その後の資格情報窃盗と内部偵察を反映しています。
