Cyberangriff der Gruppe APT28 mit dem Schadprogramm CredoMap_v2 (CERT-UA#4622)
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
APT28 führte eine Phishing-Operation durch, bei der ein passwortgeschütztes RAR-Archiv namens UkrScanner.rar verwendet wurde. In dem Archiv befand sich eine selbstextrahierende (SFX) ausführbare Datei, die CredoMap_v2 installierte. Die Malware stiehlt und exfiltriert Anmeldedaten über HTTP POST an eine von Angreifern kontrollierte Infrastruktur, die auf der Pipedream-Plattform gehostet wird. Der Vorfall wurde von CERT-UA (der nationalen CERT der Ukraine) offengelegt.
Untersuchung
CERT-UA erhielt eine verdächtige Nachricht, die sich als die eigene Organisation ausgab und den passwortgeschützten RAR-Anhang trug. Die Untersuchung des SFX-Payloads offenbarte die CredoMap_v2-Binärdatei und deren HTTP-basierte Anmeldedaten-Exfiltrationsroutine. Analysten verfolgten den ausgehenden Datenverkehr zu eo2mxtqmeqzafqi.m.pipedream.net und 69.16.243.33. Basierend auf den Werkzeugen und der Infrastruktur wurde die Aktivität der bekannten APT28-Bedrohungsgruppe zugeschrieben.
Abschwächung
CERT-UA blockierte die bösartige Pipedream-Domain und die zugehörige IP-Adresse. Benutzern wurde empfohlen, passwortgeschützte Archive als hohes Risiko zu betrachten und die Identität des Absenders über vertrauenswürdige Kanäle zu validieren. Verhindern Sie die Ausführung unbekannter ausführbarer Dateien durch Betriebssystemkontrollen und Endpunktsicherheitspolitiken.
Reaktion
Schulen Sie Benutzer darin, Phishing zu erkennen und Absender zu bestätigen, insbesondere wenn Anhänge passwortgeschützt sind. Stärken Sie die E-Mail-Filterung für verdächtige Archive und ausführbare Dateien und blockieren Sie bekannte feindliche Infrastrukturen. Überwachen Sie ausgehenden HTTP-Datenverkehr auf unerwartete POST-Anfragen an nicht vertrauenswürdige Domains und untersuchen Sie eventuelle Übereinstimmungen umgehend.
Angriffsablauf
Erkennungen
Verdächtiger APT28-Erstzugriff durch Erkennung zugehöriger Dateien (via file_event)
Ansicht
Verdächtige SQLite.Interop-Bibliotheksnutzung (via image_load)
Ansicht
IOCs (HashSha256) zum Erkennen: Cyberangriff der Gruppe APT28 unter Verwendung des bösartigen Programms CredoMap_v2 (CERT-UA#4622)
Ansicht
IOCs (HashMd5) zum Erkennen: Cyberangriff der Gruppe APT28 unter Verwendung des bösartigen Programms CredoMap_v2 (CERT-UA#4622)
Ansicht
IOCs (HashSha1) zum Erkennen: Cyberangriff der Gruppe APT28 unter Verwendung des bösartigen Programms CredoMap_v2 (CERT-UA#4622)
Ansicht
IOCs (SourceIP) zum Erkennen: Cyberangriff der Gruppe APT28 unter Verwendung des bösartigen Programms CredoMap_v2 (CERT-UA#4622)
Ansicht
IOCs (E-Mails) zum Erkennen: Cyberangriff der Gruppe APT28 unter Verwendung des bösartigen Programms CredoMap_v2 (CERT-UA#4622)
Ansicht
IOCs (DestinationIP) zum Erkennen: Cyberangriff der Gruppe APT28 unter Verwendung des bösartigen Programms CredoMap_v2 (CERT-UA#4622)
Ansicht
Verdächtige HTTP-POST-Anfragen an die Pipedream-Plattform [Windows-Netzwerkverbindung]
Ansicht
Ausführung der CredoMap_v2-Malware aus SFX-Dateien [Windows-Prozesserstellung]
Ansicht
Simulationsausführung
Voraussetzung: Der Telemetrie- & Basislinien-Pre‐flight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die dazu bestimmt ist, die Erkennungsregel auszulösen. Die Befehle und die Darstellung MÜSSEN direkt mit den identifizierten TTPs übereinstimmen und zielen darauf ab, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle:
Ein APT28-Bediener erhält eine Phishing-Mail mit einem passwortgeschützten RAR-Archiv. Darin befindet sich eine selbstextrahierende (SFX) ausführbare Datei namensUkrScanner.exe. Nachdem das Archiv auf dem Rechner des Opfers entpackt wurde, führt der Bediener den SFX-Stummel aus, der die Malware CredoMap_v2 ablegt und ausführt. Die Ausführung vonUkrScanner.exeerzeugt ein Prozesserstellungsereignis, das mit der Erkennungsregel übereinstimmt.Simulationsschritte (auf dem Testhost ausgeführt):
- Erstellen Sie eine Dummy-Auszählbare namens
UkrScanner.exe(Kopie vonpowershell.exezur Sicherheit). - Starten Sie die Dummy-Auszählbare, um die Ausführung der SFX-Datei durch den Angreifer zu simulieren.
- Erstellen Sie eine Dummy-Auszählbare namens
-
Regressionstest-Skript:
# ============================== # Simulation der Ausführung von CredoMap_v2 aus SFX (UkrScanner.exe) # ============================== $tempPath = "$env:TEMPUkrScanner.exe" # 1. Bereiten Sie ein ungefährliches Ersatz-Payload vor (Kopie von powershell.exe) Copy-Item -Path "$env:SystemRootSystem32WindowsPowerShellv1.0powershell.exe" -Destination $tempPath -Force # 2. Stellen Sie sicher, dass die Datei ausführbar ist Unblock-File -Path $tempPath # 3. Führen Sie die Dummy-SFX-Stummel aus (simuliert den Angriff durch das Ausführen der Datei) Write-Host "Dummy-SFX ausführbar ausführen..." Start-Process -FilePath $tempPath -ArgumentList "-NoProfile -WindowStyle Hidden" -PassThru # 4. Pause, um die SIEM-Aufnahme zu ermöglichen Start-Sleep -Seconds 5 Write-Host "Simulation abgeschlossen. Überprüfen Sie SIEM auf eine Erkennung der Prozesserstellung, die mit 'UkrScanner.exe' endet." -
Bereinigungsbefehle:
# Stoppen Sie alle verweilenden Powershell-Prozesse, die durch die Dummy-Auszählbare gestartet wurden (falls vorhanden) Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*UkrScanner.exe"} | Stop-Process -Force # Entfernen Sie die Dummy-Auszählbare $tempPath = "$env:TEMPUkrScanner.exe" if (Test-Path $tempPath) { Remove-Item -Path $tempPath -Force Write-Host "Bereinigung abgeschlossen: $tempPath entfernt" }