AgentTesla-Spyware massiv in Phishing-Kampagnen verteilt, die auf ukrainische, österreichische und deutsche Organisationen abzielen
Inhaltsverzeichnis:
Am 30. und 31. August 2022, CERT-UA enthüllte einen Ausbruch von Gegneraktivitäten, die massenhaft Phishing-E-Mails an ukrainische, österreichische und deutsche Organisationen verteilten. Laut der entsprechenden CERT-UA#5252-Warnung nutzen Hacker den Vektor der E-Mail-Anhänge aus, um die berüchtigte AgentTesla Informationsdiebstahl-Malware zu verbreiten. Die bösartige Aktivität kann den Verhaltensmustern des Hacker-Kollektivs zugeordnet werden, das als UAC-0120 verfolgt wird.
Verbreitung von AgentTesla-Malware: Analyse der neuesten E-Mail-Kampagnen von UAC-0120
Seit die Welt in den globalen Cyberkrieg eingetreten ist, als Russland seine große Invasion in die Ukraine startete, haben Russland-verbundene Hacker-Kollektive ihre bösartigen Aktivitäten eskaliert, indem sie Cyber-Spionage-Kampagnen und destruktive Cyber-Angriffe starteten. Im Rahmen dieser Kampagnen nutzten die Gegner Malware-Exemplare zum Informationsdiebstahl, wie IcedID Trojaner und AgentTesla-Spyware. Letztere gehört zu einem der weit verbreiteten Spyware-Trojaner, die entwickelt wurden, um sensible Daten von kompromittierten Benutzern zu stehlen. Die AgentTesla-Malware tauchte bei früheren Cyberangriffen gegen die Ukraine auf, die der bösartigen Aktivität der UAC-0041-Hackergruppe.
Am 31. August 2022 gab CERT-UA eine Warnung heraus, CERT-UA#5252 in der die weltweite Cyberverteidiger-Gemeinschaft vor einer neuen Welle von Cyberangriffen durch die UAC-0120-Hackergruppe gewarnt wurde, die massenhaft AgentTesla-Spyware verbreitet. Gegner führen fortlaufende Phishing-E-Mail-Kampagnen durch, die auf Organisationen in der Ukraine, Österreich und Deutschland abzielen. Diese E-Mails enthalten schädliche IMG-Anhänge mit dem Namen „Technisches Zeichnen“, die als Phishing-Köder verwendet werden, um Opfer dazu zu verleiten, sie zu öffnen und eine Infektion zu verbreiten. Der IMG-Köder wird mit einer CHM-Datei geliefert, die beim Öffnen bösartigen JavaScript-Code ausführt. Letzterer lädt und startet die node.txt -Datei über ein PowerShell-Skript.
Infolgedessen führt der PowerShell-Code DLL- und EXE-Dateien aus, wobei letztere die AgentTesla-Spyware ist, die die kompromittierten Systeme infiziert. Laut der CERT-UA-Forschung wurden am 11. August ähnliche Phishing-E-Mails zugestellt, jedoch mit anderen Ködern für E-Mail-Betreffs und Anhänge.
Erkennung der UAC-0120-Aktivität: Sigma-Regeln zur proaktiven Verteidigung gegen Phishing-Angriffe, die AgentTesla verbreiten
Um sich proaktiv gegen die aufkommende Aktivität diverser Hacker-Kollektive zu verteidigen, die Informationsdiebstahl-Malware verbreiten, suchen Cybersicherheitsforscher nach Möglichkeiten, die Bedrohungserkennungs-Fähigkeiten zu verbessern und die Bedrohungsjagd zu beschleunigen. Das SOC Prime Team kuratiert eine Reihe einzigartiger Sigma-Regeln um die bösartige Aktivität der UAC-0120-Gruppe zu erkennen, die hinter fortlaufenden Cyberangriffen steht und die AgentTesla-Spyware verteilt. Da diese Phishing-Kampagnen mehrere Organisationen aus der Ukraine, Österreich und Deutschland ins Visier nehmen, sollten Cyber-Verteidiger wachsam bleiben, um die Infektion rechtzeitig in der Infrastruktur ihrer Organisation zu identifizieren und die potenzielle Bedrohung zu mindern.
Cybersicherheitsexperten können bei SOC Prime nach den zugehörigen Bedrohungen basierend auf der Gruppenkennzeichnung „UAC-0120“ suchen und sofort auf relevante Sigma-Regeln zugreifen, die mit aufschlussreichen kontextuellen Metadaten wie MITRE ATT&CK®- und CTI-Referenzen angereichert sind:
Alle Sigma-Regeln sind verfügbar auf der Detection-as-Code-Plattform von SOC Prime und können in führenden SIEM-, EDR- und XDR-Technologien angewendet werden.
Greifen Sie sofort auf kontextangereicherte Sigma-Regeln zur AgentTesla-Malware-Erkennung direkt über die Suchmaschine für Cyber-Bedrohungen von SOC Prime zu. Klicken Sie auf die Schaltfläche Erkunden Sie Erkennungen und vertiefen Sie sich in die entsprechenden Erkennungsinhalte, die von umfassenden kontextuellen Informationen für eine tiefgehende Bedrohungsuntersuchung begleitet werden. Benötigen Sie mehr als nur Erkennungsregeln? Profitieren Sie von Detection as Code, das bei Bedarf verfügbar ist und maximale Flexibilität mit einem Prepaid-Guthaben bietet.
Erkunden Sie Erkennungen Wählen Sie einen Plan
MITRE ATT&CK® Kontext
Alle dedizierten Sigma-Regeln sind mit dem MITRE ATT&CK® Rahmenwerk abgestimmt und decken die folgenden Gegner-Taktiken und -Techniken ab, die es Cybersicherheitsexperten ermöglichen, sofortige Einblicke in den MITRE ATT&CK-Kontext hinter den laufenden E-Mail-Kampagnen der UAC-0120-Gruppe zu gewinnen:
Bleiben Sie den aufkommenden Bedrohungen voraus mit dem bedarfsgerechten Zugang zu den neuesten und relevantesten Detection-as-Code-Inhalten, die in der Plattform von SOC Prime verfügbar sind. Wählen Sie den On-Demand-Abonnementplan und sparen Sie bis zu 2.200 Stunden bei Bedrohungsforschung und Entwicklung von Erkennungsinhalten und maximieren Sie den Wert Ihrer SOC-Team-Ressourcen.
