サイバー兵器としてのWinRAR：UAC-0165がRoarBatでウクライナ公共部門を標的に

世界的なサイバー戦争の勃発以来、ウクライナおよびその同盟国の国家機関は、複数のハッキング集団によって開始された多様な悪意あるキャンペーンのターゲットとなっています。専門家は、2022年にウクライナに対するサイバー攻撃が250%急増し、そのうち2,000件以上が ロシア関連の脅威アクターによって開始されたと 本格的な侵攻の開始以来。

2023年4月29日、 CERT-UAは新しい警報を発表しました WinRARの乱用とRoarBat悪意のあるスクリプトに依存してウクライナ政府機関のITインフラを混乱させる大規模なサイバー攻撃をカバーしています。CERT-UAは、ロシア支援のSandworm APTが、この 2023年1月に発生したNational Information Agency “Ukrinform”の情報・通信システムに対する攻撃 に大きな重複があるため、侵入に関与している可能性があると考えています。

UAC-0165グループ（Sandworm APT）によるウクライナに対する最新の破壊的サイバー攻撃の分析

最新のCERTUA#6550の警報は、ウクライナの公共部門のITインフラを麻痺させることを目的とした大規模なサイバー攻撃をサイバー防衛者に警告しています。具体的には、最新の悪意のある操作の結果、サーバー機器やデータストレージシステムの運用が妨げられました。この攻撃は Sandworm APTグループ. 

に帰属しています。特に、Windowsシステムは、ディスク上または特定のディレクトリにあるファイルを再帰的に検索し、それを正当なWinRARプログラムを使用して「-df」機能でアーカイブするRoarBat .BATスクリプトによって標的にされました。これは、最終的にソースファイルと作成されたアーカイブの両方の削除につながりました。一方、Linuxシステムは、標準の”dd”ユーティリティを利用してファイルをゼロバイトで上書きするBASHスクリプトで攻撃されました。

CERT-UAの専門家は、この破壊的な操作がNational Information Agency “Ukrinform”の情報・通信システムに対する攻撃と多くの共通点があると見積もっています。したがって、ウクライナの公共部門に対する最新の攻撃は、中程度の自信を持ってロシア支援のSandworm APTに帰属しています。しかし、焦点を絞った攻撃の追跡にはCERT-UAはUAC-0165識別子を使用しています。

特に、敵はリモートVPN接続中の多要素認証の欠如と不十分なネットワーク分割を利用して攻撃を成功させました。ユーザーは CERT-UAの推奨に従ってサイバーセキュリティ保護を強化することを求められています。. 

CERT-UA#6550警報でカバーされたUAC-0165の悪意ある活動の検出

UAC-0165に関連する悪意ある活動をタイムリーに特定するために、SOC Prime Platformは関連するSigmaルールのセットをキュレートしています。すべての検出アルゴリズムは、対応するカスタムタグ「CERT-UA#6550」と「UAC-0165」でフィルタリングされており、CERT-UAの警報とグループ識別子に基づいてSOCコンテンツ選択を効率化します。

「 検出を探索 」ボタンをクリックして、最新のUAC-0165攻撃を検出する専用Sigmaルールの全コレクションにアクセスしてください。すべてのルールは、 MITRE ATT&CK®フレームワークv12に準拠しており、深いサイバー脅威のコンテキストで強化され、28+のSIEM、EDR、XDRソリューションと互換性があり、特定のセキュリティニーズに適合します。

検出を探索

サイバー防衛者はまた、 Uncoder.IOを使用して、ウクライナ政府機関に対する最新のSandworm操作に関連するインジケーター（IoC）を検索することで、脅威ハンティング活動を自動化できます。単にファイル、ホスト、またはネットワーク CERT-UAが提供するIoC をツールに貼り付け、ターゲットクエリのコンテンツタイプを選択すると、選択した環境で実行する準備が整ったパフォーマンス最適化されたIoCクエリを瞬時に作成できます。

MITRE ATT&CKコンテキスト

最新のCERT-UA警報でカバーされたUAC-0165の破壊的なサイバー攻撃の詳細なコンテキストに踏み込むために、上記の参照されたSigmaルールは、関連する戦術と技術に対応するATT&CK v12でタグ付けされています：