UAC-0006とは
UAC-0006は、少なくとも2023年から活動している金銭目的の脅威アクターです。UAC-0006の活動はFIN7およびEmpireMonkeyの手法と重なる部分があり、検出回避と侵害システムの持続的な制御を目的として正規のシステムバイナリを使用することが挙げられます。標的国には、ウクライナ、オーストラリア、フランス、マルタ、イギリス、アメリカが含まれます。
UAC-0006は、パスワードで保護されたZIP/RAR添付ファイルを含む支払いを装ったフィッシングメールを使用して初期アクセスを行います。最近では、フィッシング戦略の一環としてLNKファイルも使用し始めました。
解凍されたアーカイブには、悪意のあるJavaScript(.js)およびVBScript(.vbs)ファイルが含まれており、それらが感染を引き起こします。JavaScriptファイルが実行されると、wscript.exeが起動し、エンコードされたPowerShellコマンドを実行してSmokeLoaderをダウンロードし、実行します。
VBScriptファイルが実行されると、mshta.exeを使用して攻撃者のC2サーバーからリモートスクリプトを取得および実行します。同様に、LNKファイルが開かれると、PowerShell.exeが隠し実行パラメーターとともに動作し、mshta.exeがC2サーバーからスクリプトを取得および実行します。
SmokeLoaderが展開されると、C2サーバーに接続し、バンキング型トロイの木馬、情報窃取型マルウェア(RedLineやVidarなど)、ランサムウェアなどの追加のペイロードをダウンロードします。持続性を確保するために、SmokeLoaderは正規のWindowsプロセスに自己注入し、C2サーバーとの継続的な通信を維持します。
この持続的な基盤により、UAC-0006は追加のペイロードを実行し、機密財務データを窃取し、侵害されたネットワークへの長期的なアクセスを維持することができます。
UAC-0006の高度化する戦術は、サイバー犯罪の複雑性を示しており、企業、特に金融機関は、積極的な防御とユーザー意識の向上に努める必要があります。
推奨される対策
- 環境内の侵害指標(IoC)や異常な活動を監視し、迅速な対応ができるよう準備する。
- すべてのWindowsシステムに対して最新のパッチを適用し、多要素認証を導入してセキュリティを強化する。
- 包括的な脅威評価演習を実施し、セキュリティ上の盲点や改善点を明らかにする。
