金銭目的の脅威グループUAC-0006が主導する新たなフィッシングキャンペーンが発見され、ウクライナ最大の国有金融機関であるPrivatBankの顧客を標的にしていることが判明しました。
CloudSEKのサイバーセキュリティアナリストは、検知回避のために悪意のあるJavaScript、VBScript、またはLNKファイルを含むパスワード保護されたアーカイブを用いる進行中の攻撃を特定しました。
攻撃手法とペイロード
UAC-0006は2024年11月以降、支払いをテーマにしたフィッシング誘導を展開していることが確認されており、以下を悪用しています:
- 請求書を装った悪意のあるメール添付ファイル
- PowerShellコマンドを実行するJavaScriptおよびVBScriptファイル
- コマンド&コントロール(C2)通信のためのSmokeLoader マルウェア
これらの手法により、不正アクセス、ペイロードの実行、侵害されたシステムに対する持続的な制御が可能になります。
最新の攻撃は、パスワード保護されたZIPまたはRARファイルを含むフィッシングメールから始まります。開封すると、展開されたJavaScriptまたはVBScriptファイルが一連のプロセスを開始し、正規のWindowsバイナリに悪意のあるコードを注入します。
戦術の進化と帰属
最近のフォレンジック分析によると、UAC-0006は新たな攻撃ベクターとしてLNKファイルを採用しており、ロシアの高度持続的脅威(APT)グループFIN7に以前関連付けられていた戦術を踏襲しています。
これらの変化は、いずれも金融サイバー犯罪で知られるEmpireMonkeyおよびCarbanakとの作戦上の重なりを示唆しています。PowerShell、プロセスインジェクション、非標準のC2通信手法の使用は、同グループの過去のmodus operandi(典型的な手口)と一致します。
フィッシングキャンペーンは、データ侵害など複数のリスクをもたらし、その後、盗まれた認証情報や金融情報が詐欺に利用されたり、ダークウェブで販売されたりする可能性があります。また、銀行や企業アカウントへの不正アクセスを可能にすることで、認証情報の収集(クレデンシャル・ハーベスティング)も促進します。
さらに、フィッシングメールでなりすましに利用されたPrivatBankやその他の組織は、評判の低下を被る可能性があります。金融サービス提供者のなりすましは、サプライチェーン内の下流リスクを増大させます。
サプライチェーンリスクについて詳しく読む:CISA、米国ソフトウェアサプライチェーンの透明性向上を要請
推奨される緩和策
これらの脅威に対抗するため、サイバーセキュリティ専門家は以下を推奨しています:
- 悪性指標のブロック: UAC-0006に関連するURL、IP、ファイルハッシュを監視し、ブラックリスト化する
- セキュリティ意識向上トレーニング: 従業員にフィッシングの試みを識別できるよう教育する
- インシデント対応措置: 被害が発生する前に攻撃を検知・緩和するためのプロトコルを確立する
UAC-0006の継続的な進化は、金銭目的のサイバー犯罪グループの高度化が進んでいることを浮き彫りにしています。警戒、能動的な防御戦略、そしてユーザーの意識向上は、これらの脅威を緩和するうえで引き続き重要です。
翻訳元: https://www.infosecurity-magazine.com/news/phishing-campaign-targets-ukraines/
