Vermin (UAC-0020) ハッキング集団、ウクライナ政府と軍をSPECTRマルウェアで攻撃
目次:
この記事ではCERT-UAによる元の調査を扱っています: https://cert.gov.ua/article/37815.
2022年3月17日、 ウクライナ政府の緊急出動チームCERT-UAは公開しました ウクライナ政府のインフラが、SPECTRマルウェアの配布を狙った大規模なスピアフィッシングキャンペーンによって攻撃されたことを明らかにしました。このキャンペーンは、いわゆるルハンスク人民共和国(LPR)に関連するVermin(UAC-0020)ハッカー集団によって開始され、ドンバス地域の東ウクライナに位置する未承認の疑似国家であるとされています。Verminサイバー犯罪者は、モスクワ政府の代行者として活動し、ウクライナに対するロシアのサイバー戦争の運用部隊であると考えられています。
Vermin(UAC-0020):CERT-UAリサーチ
CERT-UAの警告によると、LPR関連のVermin集団(UAC-0020)は、ウクライナの国家機関に「supply」という件名の悪意のあるメールを配布しています。
これらのメールには、パスワードで保護されたRARアーカイブが含まれており、名前は 「ДВТПРОВТ.rar」です。 これには2つの悪意のあるファイルが含まれています。 ファイルは “4222 ВП МОУ на лист ДВТПРОВТ від 09.03.22 403-5-1324.rtf.lnk” LNKファイルと “4222 ВП МОУ на лист ДВТПРОВТ від 09.03.22 403-5-1324.rtf” EXEファイルです。ユーザーがLNKファイルを開くと、対応するEXEファイルが対象システムで実行されます。.
サイバー攻撃の結果として、感染したコンピュータはSPECTRと呼ばれる有害なモジュラーソフトウェアにさらされ、SPECTR.Usb、SPECTR.Shell、SPECTR.Fs、SPECTR.Info、SPECTR.Archiverといった一連の悪意のあるコンポーネントを利用して感染を拡大します。
特に、CERT-UAは、最近のVermin攻撃が2019年7月に脅威グループによって使用されていた同じ悪質なインフラストラクチャを利用していると報告しています。さらに、コマンドアンドコントロール(C&C)サーバーの機器は長期間、 ルハンスクのプロバイダvServerCo(AS58271)によって維持されています。
CERT-UAによって提供されたグラフィックは、ウクライナ国家機関に対する最新のVermin(UAC-0020)攻撃を示しています。
侵害指標(IOC)
ファイル
baf502b4b823b6806cc91e2c1dd07613 ДВТПРОВТ.rar 993415425b61183dd3f900d9b81ac57f 4222 ВП МОУ на лист ДВТПРОВТ від 09.03.22 403-5-1324.rtf 1c2c41a5a5f89eccafea6e34183d5db9 4222 ВП МОУ на лист ДВТПРОВТ від 09.03.22 403-5-1324.rtf.lnk d34dbbd28775b2c3a0b55d86d418f293 data.out 67274bdd5c9537affbd51567f4ba8d5f license.dat (2022-02-25) (SPECTR.Installer) 75e1ce42e0892ed04a43e3b68afdbc07 conhost.exe e08d7c4daa45beca5079870251e50236 PluginExec.exe (SPECTR.PluginLoader) adebdc32ef35209fb142d44050928083 Spectator2.exe (SPECTR.Spectator2) 3ed8263abe009c19c4af8706d52060f8 Archiver.dll (2021-04-09) (SPECTR.Archiver) f0197bbb56465b5e2f1f17876c0da5ba ClientInfo.dll (SPECTR.Info) d0632ef34514bbb0f675c59e6ecca717 FileSystem.dll (2021-04-09) (SPECTR.Fs) 00a54a6496734d87dab6685aa90588f8 FileTransfer.dll (2021-04-09) (SPECTR.Ft) 5db4313b8dbb9204f8f98f2c129fd734 Manager.dll (SPECTR.Mgr) 32343f2a6b8ac9b6587e2e07989362ab Shell.dll (2021-04-09) (SPECTR.Shell) ecc7bb2e4672b958bd82fe9ec9cfab14 Usb.dll (SPECTR.Usb)
ネットワーク指標
hxxp://176[.]119.2.212/web/t/data.out hxxp://getmod[.]host/DSGb3Y3X hxxp://getmod[.]host/ThlAHy3S hxxp://getmod[.]host/OcthdaLm getmod[.]host (2019-07-12) syncapp[.]host (2019-07-12) netbin[.]host (2019-07-12) stormpredictor[.]host meteolink[.]host 176[.]119.2.212 176[.]119.2.214 176[.]119.5.194 176[.]119.5.195 AS58271
ホスト指標
HKCUSoftwareGoogleChromeNativeMessagingHostscom.microsoft.browsersecEncodedProfile HKCUSoftwareGoogleChromeNativeMessagingHostscom.microsoft.browsercliEncodedProfile %APPDATA%MicrosoftExcelCnv1033license.dat %APPDATA%MicrosoftExcelCnv1033conhost.exe ESET_OPINIONS (ネットワーク変数) MSO (ネットワーク変数) MS Office Add-In Install Task (スケジュールタスク)
上記のIOCに基づく実用的な脅威インテリジェンスを得るには、このAnomali ThreatStreamリンクを参照してください: https://ui.threatstream.com/tip/3754010.
ウクライナに対する最新のVermin(UAC-0020)攻撃を検出するためのSigmaルール
組織のインフラストラクチャを大規模なスピアフィッシング攻撃およびVermin(UAC-0020)脅威アクターの悪意ある活動に関連するSPECTRマルウェア感染から保護するため、SOC PrimeはDetection as Codeプラットフォームで利用可能なSigmaベースの専用ルールをリリースしました。これらの脅威アクターの活動に関連するすべての検出コンテンツは、 #UAC-0020:
Verminグループの最新活動を検出するためのSigmaベースのルールの完全なリスト
SOC Primeプラットフォームは、レジストリイベント、ファイルイベント、イメージロード、その他のログソース向けにVermin攻撃を検出するIOCベースのSigmaルールを一括提供します。また、検出リストには、脅威ハンティングの能力を強化し、敵対者の行動パターンに対する洞察を得るためのSigma行動ベースのルールセットも含まれています。
MITRE ATT&CK® コンテキスト
Verminハッカー集団によって開始された最新のスピアフィッシングキャンペーンのコンテキストを得るために、上記のすべてのSigmaベースの検出は次の戦術と技術に対応したMITRE ATT&CKフレームワークに整合しています:
ATT&CK NavigatorのためのJSONファイルをダウンロード
上記のファイルに適用可能なバージョンは次のとおりです:
- MITRE ATT&CK v10
- ATT&CK Navigatorバージョン:4.5.5
- レイヤーファイル形式:4.3
