Ciberataque UAC-0255 disfarçado como uma notificação do CERT-UA usando a ferramenta AGEWHEEZE
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma campanha de phishing disfarçada como CERT-UA entregou arquivos protegidos por senha contendo a ferramenta de acesso remoto AGEWHEEZE. Escrito em Go, o malware permite o controle remoto total dos sistemas infectados, incluindo captura de tela, emulação de entrada, operações de arquivo e persistência. O tráfego de comando e controle é transmitido via WebSockets para um servidor hospedado na OVH escutando na porta 8443. As vítimas-alvo incluíam agências governamentais ucranianas, instituições de saúde, organizações financeiras e entidades educacionais.
Investigação
Pesquisadores do CERT-UA reuniram os e-mails de phishing, o site fraudulento cert-ua.tech e os binários maliciosos para análise. A revisão estática revelou caminhos de arquivos relacionados a RAT, tarefas agendadas e entradas de inicialização no registro usadas para persistência. A análise de rede identificou o servidor C2 na OVH usando um certificado autoassinado e um ouvinte WebSocket em 54.36.237.92:8443. A atividade foi rastreada sob o incidente UAC-0255.
Mitigação
As organizações devem bloquear mensagens de remetentes desconhecidos se passando por CERT-UA, impedir a execução de arquivos lançados a partir de locais %APPDATA% e monitorar as tarefas agendadas e chaves de execução do registro descritas. Os controles de rede devem negar conexões de saída para o IP C2 identificado e domínios relacionados. Políticas de acesso de menor privilégio e assinaturas de AV atualizadas também devem ser aplicadas.
Resposta
Os defensores devem detectar os binários AGEWHEEZE, as tarefas agendadas SvcHelper e CoreService, e as entradas de execução no registro relacionadas. Sistemas afetados devem ser isolados, evidências voláteis coletadas, e uma análise completa do malware realizada. Os CERTs nacionais relevantes devem ser notificados e o conteúdo de detecção atualizado com todos os IOCs extraídos.
Fluxo de Ataque
Detecções
Possível Infiltração / Exfiltração de Dados / C2 via Serviços / Ferramentas de Terceiros (via dns)
Ver
Tarefa Agendada Suspeita (via auditoria)
Ver
Possível Infiltração / Exfiltração de Dados / C2 via Serviços / Ferramentas de Terceiros (via proxy)
Ver
Acesso a Arquivos de Tarefas Agendadas Suspeitas via Imagem Rara (via evento de arquivo)
Ver
Possível Abertura de Arquivo RAR Protegido por Senha (via evento de registro)
Ver
Execução de Arquivo RAR [WinRAR] (via criação de processo)
Ver
IOCs (HashSha256) para detectar: Ciberataque UAC-0255 disfarçado como uma notificação da CERT-UA usando a ferramenta AGEWHEEZE
Ver
IOCs (SourceIP) para detectar: Ciberataque UAC-0255 disfarçado como uma notificação da CERT-UA usando a ferramenta AGEWHEEZE
Ver
IOCs (HashSha1) para detectar: Ciberataque UAC-0255 disfarçado como uma notificação da CERT-UA usando a ferramenta AGEWHEEZE
Ver
IOCs (HashMd5) para detectar: Ciberataque UAC-0255 disfarçado como uma notificação da CERT-UA usando a ferramenta AGEWHEEZE
Ver
IOCs (DestinationIP) para detectar: Ciberataque UAC-0255 disfarçado como uma notificação da CERT-UA usando a ferramenta AGEWHEEZE
Ver
Detecção de Comunicação de Comando e Controle RAT AGEWHEEZE [Conexão de Rede Windows]
Ver
Detecção de Caminhos de Instalação RAT AGEWHEEZE [Evento de Arquivo Windows]
Ver
Execução de Simulação
Pré-requisito: O Check Preliminar de Telemetria e Linha de Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica adversária (T1059) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visar gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa de Ataque & Comandos:
Um adversário que já comprometeu a sessão de um usuário deseja estabelecer persistência instalando o RAT AGEWHEEZE. Eles copiam o binário RAT para o%APPDATA%SysSvcdiretório (uma pasta de “instalação” conhecida) e então o executam via interpretador de linha de comando. Como o caminho completo do binário corresponde a um dos seletores codificados na regra Sigma, o Sysmon registrará a criação do processo, fazendo com que a regra dispare. -
Script de Teste de Regressão: (executar como o usuário comprometido)
# --------------------------------------------------------- # Simular queda e execução do RAT AGEWHEEZE para teste de detecção # --------------------------------------------------------- # 1. Definir caminho de instalação alvo (um dos seletores de detecção) $targetDir = "$env:APPDATASysSvc" $targetExe = "SysSvc.exe" $fullPath = Join-Path -Path $targetDir -ChildPath $targetExe # 2. Garantir que o diretório existe if (-not (Test-Path -Path $targetDir)) { New-Item -ItemType Directory -Path $targetDir -Force | Out-Null } # 3. Criar um executável fictício (aqui copiamos notepad.exe como substituto) $sourceExe = "$env:SystemRootSystem32notepad.exe" Copy-Item -Path $sourceExe -Destination $fullPath -Force # 4. Executar o binário copiado (simulando o lançamento do RAT) Start-Process -FilePath $fullPath -WindowStyle Hidden # 5. Opcional: escrever um marcador no console para verificação Write-Host "Simulação de execução do RAT AGEWHEEZE a partir de $fullPath" # --------------------------------------------------------- -
Comandos de Limpeza: (executar após validação)
# --------------------------------------------------------- # Limpar artefatos de simulação do RAT AGEWHEEZE # --------------------------------------------------------- $targetDir = "$env:APPDATASysSvc" $targetExe = "SysSvc.exe" $fullPath = Join-Path -Path $targetDir -ChildPath $targetExe # Terminar qualquer processo remanescente que corresponda ao exe fictício Get-Process -Name "notepad" -ErrorAction SilentlyContinue | Where-Object { $_.Path -eq $fullPath } | Stop-Process -Force # Remover o binário e sua pasta Remove-Item -Path $fullPath -Force -ErrorAction SilentlyContinue # Remover o diretório se estiver vazio if ((Get-ChildItem -Path $targetDir -Force | Measure-Object).Count -eq 0) { Remove-Item -Path $targetDir -Force } Write-Host "Limpeza completa." # ---------------------------------------------------------