Cyber-Spionage-Gruppe Armageddon als UAC-0010 verfolgt, greift EU- und ukrainische Regierungseinrichtungen an

[post-views]
April 06, 2022 · 3 min zu lesen
Cyber-Spionage-Gruppe Armageddon als UAC-0010 verfolgt, greift EU- und ukrainische Regierungseinrichtungen an

Aktualisierung: Nach Angaben des jüngsten Hinweises vom 7. April 2022 hat das Computer Emergency Response Team der Ukraine (CERT-UA) eine Warnung mit Details zu den neuesten Phishing-Angriffen auf ukrainische staatliche Stellen herausgegeben, unmittelbar nachdem die Angriffskette vor einigen Tagen mit ähnlichen Verhaltensmustern identifiziert wurde.

Am 4. April 2022 lancierte CERT-UA eine Warnmeldung über eine laufende Spear-Phishing-Kampagne, die sich gegen staatliche Einrichtungen der Ukraine richtet und das Versenden einer E-Mail mit einem Malware-Anhang beinhaltet. CERT-UA-Forscher glauben, dass die Hackergruppe, die als UAC-0010 bekannt ist und auch als Armageddon bezeichnet wird, hinter den Spear-Phishing-Angriffen auf ukrainische Regierungsbeamte steckt.

Am selben Tag wurde ein weiterer CERT-UA-Hinweis veröffentlicht, der vor der neu entdeckten Aktivität der oben genannten Bedrohungsakteure warnt. Diesmal greifen die berüchtigten Hacker von Armageddon europäische staatliche Agenturen an, wobei die Opfer durch die Zustellung von Phishing-E-Mails mit bösartigen Anhängen kompromittiert werden.

Armageddon (UAC-0010) Cyber-Spionage-Aktivität: Übersicht und Analyse

Nach Angaben des Sicherheitsdienst der Ukraine (SSU), Armageddon steht seit 2013-2014 im Rampenlicht der Cyber-Arena. Die Cyber-Spionage Gruppe wurde als integraler Bestandteil des Föderalen Sicherheitsdienstes der Russischen Föderation geschaffen, um gezielte Cyber-Intelligenz- und subversive Aktivitäten gegen ukrainische staatliche Stellen durchzuführen, um sensible Informationen zu sammeln. Bedrohungsakteure werden als Armageddon APT verfolgt, auch bekannt als Gamaredon APT, wobei der letztere Gruppenname auf einer Falschschreibung des Wortes „Armageddon“ basiert.

Armageddon-Bedrohungsakteure haben ähnliche TTPs genutzt, um eine große Anzahl von Nutzern zu kompromittieren, wobei Phishing-Kampagnen eine ihrer am häufigsten genutzten Gegner-Methoden sind. Im Verlauf ihrer aufgedeckten Aktivitäten bestand der primäre Angriffsvektor der Gruppe darin, massiv E-Mails an potenzielle Opfer mit bösartigen Anhängen zu versenden, die zur Verbreitung mehrerer Malware-Stämme führten, und auch die jüngsten Cyber-Angriffe sind keine Ausnahme. Die Gamaredon-Gruppe setzt einfache Werkzeuge ein, die in VBScript, VBA Script, C#, C++ und anderen Programmiersprachen geschrieben sind, und verlässt sich in den frühen Tagen ihrer Aktivität hauptsächlich auf Open-Source-Software, während sie allmählich ihr Toolkit mit einer Reihe von maßgeschneiderten Cyber-Spionage-Werkzeugen, einschließlich Pterodo/Pteranodon und EvilGnome, bereichert.

As CERT-UA berichtete, dass die jüngste Aktivität der Cyber-Spionage-Akteure, die auf lettische staatliche Stellen abzielt, das Versenden von Phishing-E-Mails beinhaltete, die bösartige Verknüpfungsdateien innerhalb von RAR-Archiven enthielten. Bei den Cyber-Angriffen auf die ukrainischen staatlichen Einrichtungen verbreiteten die Armageddon-Hacker E-Mail-Köder mit Betreffzeilen, die Daten zu Russland-verbundenen Kriegsverbrechern abdecken. Diese Phishing-E-Mails enthalten einen HTM-Anhang, der bei Öffnung ein RAR-Archiv mit einer bösartigen LNK-Datei generiert, welches weiter VBScript-Code ausführt und das kompromittierte System infiziert.

Sigma verhaltensbasierter Inhalt zur Erkennung von Cyberangriffen durch Armageddon (UAC-0010)

Sicherheitsexperten können die neuesten Aktivitäten der Armageddon (UAC-0010) Hackergruppe mit einem Satz kuratierter Sigma-basierter Erkennungsregeln vom SOC Prime Team verfolgen:

https://tdm.socprime.com/expert/?tagsCustom[]=UAC-0010

Alle oben genannten Erkennungsregeln sind als #UAC-0010 gekennzeichnet, um die Suche nach Inhalten im Zusammenhang mit den bösartigen Aktivitäten der entsprechenden Bedrohungsakteure zu vereinfachen. Um auf das Regelkit zuzugreifen und nach Bedrohungen zu suchen, melden Sie sich an oder loggen Sie sich in SOC Prime’s Detection as Code Plattform ein.

MITRE ATT&CK®-Kontext

Um in den Kontext der jüngsten Cyberangriffe von Armageddon/UAC-0010 einzutauchen, die auf ukrainische und EU-Regierungsbeamte abzielen, werden alle dedizierten Sigma-basierten Erkennungen auf die neueste Version des MITRE ATT&CK Frameworks abgebildet, indem auf die entsprechenden Taktiken und Techniken eingegangen wird:

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Verwandte Beiträge