悪名高いサイバー犯罪組織UAC-0050は最近、攻撃手法を更新し、さまざまな新しいフィッシング・テクニックを使って感染を広げている。遠隔操作トロイの木馬 レムコスRATUptycsのセキュリティ研究者であるKarthickkumar Kathiresan氏とShilpesh Trivedi氏は、水曜日に発表されたレポートの中で、「Remcos RATは、遠隔監視・制御機能を持つことで知られるマルウェアであるUAC-0050の主要な武器となっています。Remcos RAT は、UAC-0050 の主要な武器であり、遠隔監視・制御機能を持つことで知られ、スパイ活動のための強力なツールである。"
"しかし、最新の攻撃では、UAC-0050はプロセス間通信にパイプライン通信方式を導入し、その高い適応性を示している。"
UAC-0050は2020年から活動を開始し、ウクライナとポーランドの合法的な組織を装ってウクライナとポーランドの団体を標的にしている。ソーシャルエンジニアリング被害者は騙されて悪意のある添付ファイルを開いてしまう。
2023年2月、ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、Remcos RATを拡散するフィッシングキャンペーンとこの組織を関連付けました。過去数ヶ月の間に、UAC-0050は少なくとも3つの異なるフィッシング・キャンペーンを開始しました。フィッシング攻撃あるケースでは、メドゥーザ・ステーラーが投入された。情報窃取道具だ。
Uptycsの分析は、2023年12月21日に発見されたLNKファイルに基づいています2。LNKファイルは、Uptycsがウクライナ軍へのフィッシング・ミッションの過程で発見したものです。最初の侵入がどのように行われたのか正確には不明ですが、このファイルは、イスラエル国防軍(IDF)のコンサルティング・ポジションを提供すると主張する、ウクライナ軍を標的としたフィッシング・メールを介して送信された可能性が疑われています。
このLNKファイルは、ターゲットコンピュータにインストールされているアンチウイルスソフトウェアに関する情報を収集し、Windowsローカルのバイナリファイルmshta.exeを使用して、リモートサーバーから「6.hta」という名前のHTMLアプリケーションを取得して実行します。この手順により、new-tech-savvy[.]comドメインから別のPowerShellスクリプトを抽出するPowerShellスクリプトを実行する道が開けます。comドメインから別のPowerShellスクリプトを抽出し、「word_update.exe」と「ofer.docx」という2つのファイルをダウンロードします。
word_update.exeを実行すると、そのコピーがfmTask_dbg.exeという名前で作成され、Windowsのスタートアップフォルダーに新しい実行ファイルへのショートカットを作成することによって、永続化が達成される。
このバイナリはまた、名前のないパイプを使用して、自身と生成されたcmd.exeサブプロセス間のデータ交換を促進し、最終的には解読して、Internet Explorer、Mozilla Firefox、Google Chromeなどのウェブブラウザからシステムデータ、クッキー、ログイン情報を盗むことができるトロイの木馬、Remcos RAT(version 4.9.2 Pro)を起動します。Google Chrome など)。
Windowsオペレーティングシステムのパイプの使用は、エンドポイントの検出と応答(EDR)とアンチウイルスシステムによる検出を巧みに回避する秘密のデータ転送チャネルを提供します。この手法はまったく目新しいものではないが、この組織の攻撃手法が洗練されたことを示す重要な一歩である "と述べている。
元記事はSnowFlakeによるもの。転載の際は、https://cncso.com/jp/uac-0050-group-new-phishing-tactics-to-distribute-remcos-rat.html。
