Cyberangriff UAC-0255 getarnt als Benachrichtigung von CERT-UA unter Verwendung des AGEWHEEZE-Werkzeugs

Zusammenfassung

Eine Phishing-Kampagne, die sich als CERT-UA ausgibt, lieferte passwortgeschützte Archive, die das Fernzugriffstool AGEWHEEZE enthielten. In Go geschrieben, ermöglicht die Malware die vollständige Fernsteuerung infizierter Systeme, einschließlich Bildschirmaufnahme, Eingabemulation, Dateivorgänge und Persistenz. Der Befehls- und Kontrollverkehr wird über WebSockets zu einem OVH-gehosteten Server übertragen, der auf Port 8443 lauscht. Zu den Zielopfern gehörten ukrainische Regierungsbehörden, Gesundheitseinrichtungen, Finanzorganisationen und Bildungseinrichtungen.

Untersuchung

CERT-UA-Forscher sammelten die Phishing-E-Mails, die betrügerische Website cert-ua.tech und die bösartigen Binärdateien zur Analyse. Eine statische Überprüfung ergab RAT-bezogene Dateipfade, geplante Aufgaben und Registry-Autorun-Einträge, die für die Persistenz verwendet wurden. Die Netzwerkanalyse identifizierte den C2-Server auf OVH mit einem selbstsignierten Zertifikat und einem WebSocket-Listener bei 54.36.237.92:8443. Die Aktivität wurde unter Vorfall UAC-0255 verfolgt.

Minderung

Organisationen sollten Nachrichten von unbekannten Absendern blockieren, die sich als CERT-UA ausgeben, die Ausführung von Dateien verhindern, die von %APPDATA%-Standorten gestartet werden, und die beschriebenen geplanten Aufgaben und Registry-Run-Schlüssel überwachen. Netzwerkkontrollen sollten ausgehende Verbindungen zur identifizierten C2-IP und verwandten Domains verweigern. Zugriffsrichtlinien mit geringsten Privilegien und aktuelle AV-Signaturen sollten ebenfalls durchgesetzt werden.

Reaktion

Verteidiger sollten AGEWHEEZE-Binärdateien, die geplanten Aufgaben SvcHelper und CoreService sowie die zugehörigen Registry-Run-Einträge erkennen. Betroffene Systeme müssen isoliert, flüchtige Beweise gesammelt und eine vollständige Malware-Analyse durchgeführt werden. Relevante nationale CERTs sollten benachrichtigt und Erkennungsinhalte mit allen extrahierten IOCs aktualisiert werden.

Simulationsexecution

Voraussetzung: Der Telemetrie- und Basislinien-Vorflugcheck muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (T1059), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und zielen darauf ab, die genau erwartete Telemetrie zu generieren, die von der Erkennungslogik erwartet wird.

• Angriffs-Narrativ & Befehle:
  Ein Angreifer, der bereits eine Benutzersitzung kompromittiert hat, möchte Persistenz durch die Installation des AGEWHEEZE RAT herstellen. Sie kopieren das RAT-Binary in das Benutzerverzeichnis %APPDATA%SysSvc Verzeichnis (ein bekanntes „Installations“-Verzeichnis) und führen es dann über einen Befehlszeileninterpreter aus. Da der vollständige Pfad des Binaries mit einem der hardcodierten Selektoren in der Sigma-Regel übereinstimmt, wird Sysmon die Prozess-Erstellung protokollieren, was dazu führt, dass die Regel ausgelöst wird.

• Regressionstest-Skript: (als der kompromittierte Benutzer ausführen)

  # ---------------------------------------------------------
  # Simulierung des AGEWHEEZE RAT-Drops und der Ausführung zur Erkennungstests
  # ---------------------------------------------------------
  
  # 1. Zielinstallationspfad definieren (einer der Erkennungsselektoren)
  $targetDir = "$env:APPDATASysSvc"
  $targetExe = "SysSvc.exe"
  $fullPath = Join-Path -Path $targetDir -ChildPath $targetExe
  
  # 2. Sicherstellen, dass das Verzeichnis existiert
  if (-not (Test-Path -Path $targetDir)) {
      New-Item -ItemType Directory -Path $targetDir -Force | Out-Null
  }
  
  # 3. Dummy-Executable erstellen (hier kopieren wir notepad.exe als Stellvertreter)
  $sourceExe = "$env:SystemRootSystem32notepad.exe"
  Copy-Item -Path $sourceExe -Destination $fullPath -Force
  
  # 4. Ausführung der kopierten Binärdatei (simuliert den Start des RAT)
  Start-Process -FilePath $fullPath -WindowStyle Hidden
  
  # 5. Optional: Einen Marker in die Konsole für die Verifizierung schreiben
  Write-Host "AGEWHEEZE RAT-Simulation wurde von $fullPath ausgeführt"
  # ---------------------------------------------------------

• Aufräumbefehle: (nach der Validierung ausführen)

  # ---------------------------------------------------------
  # Aufräumen der AGEWHEEZE RAT-Simulationsartefakte
  # ---------------------------------------------------------
  
  $targetDir = "$env:APPDATASysSvc"
  $targetExe = "SysSvc.exe"
  $fullPath = Join-Path -Path $targetDir -ChildPath $targetExe
  
  # Beenden eines möglicherweise verbleibenden Prozesses, der den Dummy-Exe entspricht
  Get-Process -Name "notepad" -ErrorAction SilentlyContinue |
      Where-Object { $_.Path -eq $fullPath } |
      Stop-Process -Force
  
  # Entfernen der Binärdatei und ihres Ordners
  Remove-Item -Path $fullPath -Force -ErrorAction SilentlyContinue
  # Entfernen des Verzeichnisses, falls es leer ist
  if ((Get-ChildItem -Path $targetDir -Force | Measure-Object).Count -eq 0) {
      Remove-Item -Path $targetDir -Force
  }
  
  Write-Host "Bereinigung abgeschlossen."
  # ---------------------------------------------------------