Ciberataque UAC-0255 disfrazado como notificación del CERT-UA utilizando la herramienta AGEWHEEZE

Resumen

Una campaña de phishing que se hace pasar por CERT-UA entregó archivos protegidos por contraseña que contenían la herramienta de acceso remoto AGEWHEEZE. Escrito en Go, el malware permite un control remoto completo de los sistemas infectados, incluyendo captura de pantalla, emulación de entradas, operaciones de archivos y persistencia. El tráfico de comando y control se transmite a través de WebSockets a un servidor alojado en OVH que escucha en el puerto 8443. Las víctimas objetivo incluían agencias gubernamentales ucranianas, instituciones de salud, organizaciones financieras y entidades educativas.

Investigación

Los investigadores de CERT-UA recopilaron los correos electrónicos de phishing, el sitio web fraudulento cert-ua.tech, y los binarios maliciosos para su análisis. La revisión estática desveló rutas de archivos relacionadas con RAT, tareas programadas y entradas de autorun del registro utilizadas para la persistencia. El análisis de red identificó el servidor C2 en OVH usando un certificado autofirmado y un oyente de WebSocket en 54.36.237.92:8443. La actividad se rastreó bajo el incidente UAC-0255.

Mitigación

Las organizaciones deberían bloquear mensajes de remitentes desconocidos que se hacen pasar por CERT-UA, prevenir la ejecución de archivos lanzados desde ubicaciones %APPDATA% y monitorear las tareas programadas descritas y las claves de ejecución del registro. Los controles de red deberían negar conexiones salientes a la IP C2 identificada y a los dominios relacionados. También se deben aplicar políticas de acceso de menor privilegio y firmas de antivirus actualizadas.

Respuesta

Los defensores deben detectar los binarios de AGEWHEEZE, las tareas programadas SvcHelper y CoreService, así como las entradas de ejecución del registro relacionadas. Los sistemas afectados deben ser aislados, se debe recopilar evidencia volátil y realizar un análisis completo de malware. Se debe notificar a los CERTs nacionales relevantes, y se debe actualizar el contenido de detección con todos los IOCs extraídos.

Ejecución de Simulación

Prerrequisito: El Chequeo de Pre-vuelo de Telemetría y Línea Base debe haberse completado.

Razón: Esta sección detalla la ejecución precisa de la técnica del adversario (T1059) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntan a generar la telemetría exacta esperada por la lógica de detección.

• Narrativa del Ataque y Comandos:
  Un adversario que ya ha comprometido la sesión de un usuario quiere establecer persistencia instalando el AGEWHEEZE RAT. Copian el binario RAT en el %APPDATA%SysSvc directorio del usuario (una carpeta “instalación” conocida) y luego lo ejecutan a través de un intérprete de línea de comandos. Dado que la ruta completa del binario coincide con uno de los selectores codificados en la regla Sigma, Sysmon registrará la creación del proceso, causando que la regla se active.

• Guion de Prueba de Regresión: (ejecutar como el usuario comprometido)

  # ---------------------------------------------------------
  # Simular caída y ejecución del AGEWHEEZE RAT para pruebas de detección
  # ---------------------------------------------------------
  
  # 1. Definir la ruta de instalación objetivo (uno de los selectores de detección)
  $targetDir = "$env:APPDATASysSvc"
  $targetExe = "SysSvc.exe"
  $fullPath = Join-Path -Path $targetDir -ChildPath $targetExe
  
  # 2. Asegurar que el directorio existe
  if (-not (Test-Path -Path $targetDir)) {
      New-Item -ItemType Directory -Path $targetDir -Force | Out-Null
  }
  
  # 3. Crear un ejecutable de prueba (aquí copiamos notepad.exe como sustituto)
  $sourceExe = "$env:SystemRootSystem32notepad.exe"
  Copy-Item -Path $sourceExe -Destination $fullPath -Force
  
  # 4. Ejecutar el binario copiado (simulando el lanzamiento del RAT)
  Start-Process -FilePath $fullPath -WindowStyle Hidden
  
  # 5. Opcional: escribir un marcador en la consola para verificación
  Write-Host "Simulación AGEWHEEZE RAT ejecutada desde $fullPath"
  # ---------------------------------------------------------

• Comandos de Limpieza: (ejecutar después de la validación)

  # ---------------------------------------------------------
  # Limpiar artefactos de simulación del AGEWHEEZE RAT
  # ---------------------------------------------------------
  
  $targetDir = "$env:APPDATASysSvc"
  $targetExe = "SysSvc.exe"
  $fullPath = Join-Path -Path $targetDir -ChildPath $targetExe
  
  # Terminar cualquier proceso restante que coincida con el exe de prueba
  Get-Process -Name "notepad" -ErrorAction SilentlyContinue |
      Where-Object { $_.Path -eq $fullPath } |
      Stop-Process -Force
  
  # Eliminar el binario y su carpeta
  Remove-Item -Path $fullPath -Force -ErrorAction SilentlyContinue
  # Eliminar el directorio si está vacío
  if ((Get-ChildItem -Path $targetDir -Force | Measure-Object).Count -eq 0) {
      Remove-Item -Path $targetDir -Force
  }
  
  Write-Host "Limpieza completa."
  # ---------------------------------------------------------