AgentTesla Informationsdiebstahl-Malware in Cyber-Angriffen auf ukrainische Regierungseinrichtungen verbreitet
Inhaltsverzeichnis:
Aufgrund des globalen Cyberkriegs befeuert durch Russlands umfassende Invasion in die Ukraine, nehmen die Angriffe im Cyberbereich gegen ukrainische Regierungsstellen kontinuierlich zu. Eine Woche nach der Phishing-Kampagne der Gruppe UAC-0056 mit der Auslieferung von Cobalt Strike Beacon, kommt ein weiterer Cyber-Angriff auf die ukrainischen Beamten mit Informationsdiebstahl-Malware auf die Szene.
Am 20. Juli 2022 gab das CERT-UA einen Alarm heraus, der Cyber-Verteidiger vor einem laufenden Cyber-Angriff gegen ukrainische Regierungseinrichtungen warnt, bei dem das kriegsbezogene Thema ausgenutzt wird und ein berüchtigter RAT namens AgentTesla (auch als Agent Tesla buchstabiert) verbreitet wird. Die Infektionskette wird durch eine bösartige Datei ausgelöst, die ein Köder-Thumbnail enthält, das mit dem Operational Command South (OC South) zusammenhängt. Als Ergebnis des bösartigen Betriebs können die kompromittierten Computer mit der AgentTesla-Malware infiziert werden.
Was ist die AgentTesla-Spyware: Analyse des neuesten Cyber-Angriffs auf die Ukraine
Während des laufenden Cyberkriegs gegen die Ukraine haben Gegner bereits informationsdiebstahlende Malware-Stämme eingesetzt, wie in der böswilligen Kampagne vom April 2022 mit der Verbreitung des IcedID Trojaners. Dieser Cyber-Angriff wurde der feindlichen Aktivität des UAC-0041-Hackerkollektivs zugeschrieben, das auch mit der Auslieferung von AgentTesla Spyware Trojanern in früheren böswilligen Operationen gegen die Ukraine in Verbindung steht.
Laut der Untersuchung des CERT-UAumfasst der jüngste Cyber-Angriff auf ukrainische Regierungseinrichtungen auch die Auslieferung von AgentTesla-Beispielen. Dieser berüchtigte RAT trat 2014 in der Cyberbedrohungsarena auf und hat sich seitdem kontinuierlich weiterentwickelt, um verschiedene fortschrittliche Techniken zur Erkennungsevasion zu nutzen. AgentTesla wird häufig über den Phishing-Angriffskanal ausgeliefert und kann Anmeldeinformationen aus Webbrowsern und mehreren Softwareprogrammen wie Microsoft Outlook stehlen.
In der jüngsten Gegnerkampagne wurde der AgentTesla-Infostealer über eine PPT-Datei ausgeliefert, die ein bösartiges Makro aktiviert, das das Zielsystem weiter infiziert. Die PPT-Datei enthält ein Köder-JPEG-Thumbnail zum Thema des Russland-Ukraine-Kriegs, das einen Hinweis auf das OC South, eine Formation der ukrainischen Bodentruppen im Süden der Ukraine, gibt. Beim Öffnen und Aktivieren eines Makros erstellt und startet Letzteres sowohl eine LNK-Verknüpfung als auch eine ausführbare Datei. Die EXE-Datei ist ein NET-basiertes Programm, das das ConfuserEx-Verschleierungstool anwendet, eine JPEG-Datei herunterlädt, die Daten dekodiert und dekomprimiert und schließlich den AgentTesla-Infostealer im kompromittierten System ausführt.
Erkennen von bösartiger Aktivität, abgedeckt durch den CERT-UA#4987-Alarm
Um Organisationen beim Schutz gegen den in dem jüngsten Cyberangriff auf ukrainische Staatsorgane verbreiteten AgentTesla-Spyware-Trojaner zu unterstützen, bietet SOC Primes Detection as Code-Plattform ein Paket spezieller Sigma-Regeln , die automatisch in mehrere SIEM-, EDR- und XDR-Formate konvertiert werden können. Für eine optimierte Inhaltssuche sind alle Sigma-Regeln als CERT-UA#4987 basierend auf dem entsprechenden CERT-UA-Alarm markiert. Um auf diesen Erkennungsstack zuzugreifen, melden Sie sich bitte bei der Plattform von SOC Prime an oder loggen Sie sich ein und folgen Sie dem untenstehenden Link:
Sigma-Regeln zur Erkennung der durch die CERT-UA#4987-Warnung abgedeckten bösartigen Aktivität
Um die AgentTesla-Malware-Beispiele in der Umgebung der Organisation zeitnah zu identifizieren, greifen Sie auf die gesamte Liste der Erkennungsalgorithmen zu, indem Sie auf die Schaltfläche Detect & Hunt klicken. Außerdem können Cybersicherheitsprofis SOC Prime durchstöbern, um den neuesten Bedrohungskontext im Zusammenhang mit der AgentTesla-Malware zu erkunden, einschließlich MITRE ATT&CK®- und CTI-Referenzen zusammen mit einer Liste spezieller Sigma-Regeln. Klicken Sie auf die Schaltfläche Explore Threat Context um sofort zu den umfassenden bedrohungsbezogenen Informationen zu gelangen.
Detect & Hunt Explore Threat Context
MITRE ATT&CK®-Kontext
Um tiefer in den Kontext des jüngsten Cyberangriffs auf die Ukraine, abgedeckt durch die CERT-UA#4987-Warnung, einzutauchen, sind alle speziellen Sigma-Regeln mit dem MITRE ATT&CK-Framework abgestimmt, das die entsprechenden Taktiken und Techniken behandelt:
