Armageddon-APT, bekannt als UAC-0010, setzt GammaLoad.PS1_v2-Spionagemalware in neuer Phishing-Kampagne gegen die Ukraine ein

Die berüchtigte russische staatlich unterstützte Hacker-Gruppe, Armageddon, die kürzlich in Phishing-Angriffe auf ukrainische und europäische staatliche Stellen verwickelt war, setzt ihre bösartige Aktivität fort. Basierend auf den neuesten CERT-UA-Untersuchungen, wurden bei einem weiteren Cyberangriff gegen die Ukraine auch Bedrohungsakteure von Armageddon identifiziert, bekannt als UAC-0010, die Phishing-E-Mails verbreiten und schädliche Software mit dem Namen GammaLoad.PS1_v2 verbreiten.

Armageddon APT zielt auf die Ukraine ab durch die Lieferung von GammaLoad.PS1_v2 Malware: Angriffsanalyse

Laut dem Bericht des Sicherheitsdienstes der Ukraine (SSU), werden die Bedrohungsakteure von Armageddon auch verfolgt als Gamaredon (von Eset, PaloAlto-Forschern) oder Primitive Bear (von CrowdStrike) und sind als APT-Gruppe identifiziert, die als Sondereinheit des russischen Föderalen Sicherheitsdienstes zur Durchführung von Geheimdienst- und subversiven Aktivitäten gegen die Ukraine an der Cyberfront geschaffen wurde.

Bei dem Angriff im Aprilnutzte die Cyber-Spionage-Gruppe die GammaLoad.PS1-Malware, die über Phishing-E-Mails verbreitet und durch eine Infektionskette mit dem bösartigen VBScript-Code eingesetzt wurde. Einen Monat später führte eine weitere Phishing-Kampagne der Armageddon APT gegen die Ukraine die aktualisierte Malware-Version ein, die als GammaLoad.PS1_v2 identifiziert wurde.

Phishing bleibt der bevorzugte Angriffsvektor der russisch verbundenen Armageddon APT-Gruppe, wobei die neueste Kampagne keine Ausnahme darstellt. Diesmal hat die Armageddon-Gruppe auch ihre übliche Gegnermethode gewählt und die E-Mail-Betreffzeilen und Dateinamen als Phishing-Köder zusammen mit dem bösartigen Anhang genutzt, um die Infektionskette auszulösen. Basierend auf der CERT-UA-Forschungwerden solche Phishing-E-Mails mit einem HTM-Anhang geliefert, der beim Öffnen ein RAR-Archiv mit einer Verknüpfung LNK-Datei erstellt, die potenziell das Ausführen und Starten einer HTA-Datei führen kann. Letztere erzeugt und führt zwei Dateien aus, die schließlich GammaLoad.PS1_v2 auf dem Zielcomputer ablegen.

Sigma-Regeln, um Armageddon APT-Cyber-Angriffe zu erkennen

Um Organisationen proaktiv bei der Verteidigung gegen Phishing-Cyberangriffe durch die Armageddon APT (UAC-0010) zu unterstützen, bietet SOC Prime einen einzigartigen Satz spezifischer Sigma-Regeln an, einschließlich Warnungen und Abfragen, gefiltert durch ein entsprechendes benutzerdefiniertes Tag #UAC-0010 um die Inhaltssuche zu vereinfachen:

Sigma-Regeln zur Erkennung bösartiger Aktivitäten durch die Armageddon-Gruppe (UAC-0010)

Detection Engineers können auf diese umfassende Liste kuratierter Inhalte zugreifen, nachdem sie sich in die Plattform von SOC Prime mit ihrem vorhandenen Konto eingeloggt haben, und dann die relevantesten Regeln nach Anwendungsfall, Inhaltstyp, Logsource-Produkt oder Kategorie, Event-ID sowie anderen Datenquellen auswählen, die auf ihre Umgebungsbedürfnisse zugeschnitten sind.

MITRE ATT&CK® Kontext

Für eine aufschlussreiche Analyse, die auf die Verhaltensmuster der Gegner fokussiert ist, sind alle Sigma-Regeln zur Erkennung der bösartigen Aktivitäten der Armageddon/UAC-0010-Hacker-Kollektivs mit MITRE ATT&CK ausgerichtet und decken die entsprechenden Taktiken und Techniken ab: