Armageddon-Bedrohungsakteure alias UAC-0010 verbreiten GammaLoad.PS1_v2 Malware in einem weiteren Phishing-Angriff auf die Ukraine

Im Frühjahr 2022 startete die berüchtigte russisch-staatlich unterstützte Cyber-Spionage-Gruppe Armageddon, auch bekannt als UAC-0010, eine Reihe gezielter Phishing-Cyberangriffe gegen ukrainische und europäische Staatsorgane. Am 26. Juli 2022 gab CERT-UA eine Reihe neuer Cybersicherheitswarnungen heraus, die die globale Cyberverteidigungsgemeinschaft vor einer Welle neuartiger Phishing-Kampagnen dieser mit Russland verbundenen Bedrohungsakteure warnte, die auf die Ukraine abzielen und massenhaft GammaLoad.PS1_v2-Malware verteilen.

Armageddon APT (UAC-0010) Letzte Cyberangriffs-Analyse: Massenverteilung von GammaLoad.PS1_v2 Malware

Seit 2014 und mit der Eskalation der russischen Aggression gegen die Ukraine am 24. Februar 2022 hat Russland seine hybride Kriegsführung weiterentwickelt und Cyber-Spionage-Kampagnen vorangetrieben. Laut dem technischen Bericht des Sicherheitsdienstes der Ukraine (SSU), wurde das Hackerkollektiv Armageddon, das auch als Gamaredon bekannt ist, aufgrund eines Schreibfehlers des ursprünglichen Gruppennamens als Spezialeinheit geschaffen, um nachrichtendienstliche und Cyber-Spionage Aktivitäten gegen die ukrainischen Staatsorgane durchzuführen. 

Nach einer Reihe von Cyberangriffen im Frühjahr 2022, die von der Armageddon APT-Gruppe gestartet wurden, sind Bedrohungsakteure erneut auf dem Vormarsch und nutzen den Phishing-E-Mail-Angriffspfad aus. Zuvor, im April 2022, startete die Gruppe, auch als UAC-0010 bekannt, eine Reihe von Cyberangriffen, die sich gegen ukrainische und europäische Staatsorgane richteten, und verbreitete Phishing-E-Mails mit bösartigen Anhängen. Einen Monat später tauchte die Armageddon-Gruppe erneut in der Cyber-Bedrohungslandschaft auf und nutzte ihren bevorzugten Phishing-Angriffspfad, um die GammaLoad.PS1_v2 bösartige Software auf den kompromittierten Systemen zu installieren.

Laut den neuesten CERT-UA Warnungenverbreitet das UAC-0010 Hackerkollektiv gezielt Phishing-E-Mails, die Kriegs-Bezugspunkte als E-Mail-Themen nutzen und sich als Absender der Nationalen Akademie des Sicherheitsdienstes der Ukraine tarnen. Diese gefälschten E-Mails enthalten einen HTM-Dropper, der eine Infektionskette auslöst. Sobald sie geöffnet werden, erstellt letzterer ein bösartiges RAR-Archiv mit einer LNK-Verknüpfungsdatei, die als Köder verwendet wird, um Opfer zum Öffnen zu verleiten. Wird die oben erwähnte LNK-Datei geöffnet, lädt und führt sie eine HTA-Datei aus, die VBScript-Code enthält, der PowerShell anwendet, um die GammaLoad.PS1_v2-Malware zu entschlüsseln und auf den Zielcomputern zu starten. Um einer Erkennung zu entgehen, nutzen die Angreifer externe Dienste, um die DNS-Auflösung der C2-Server zu verhindern. 

Aufgrund eines dramatischen Anstiegs von Phishing-Cyberangriffen, die die oben erwähnten Gegnertechniken nutzen, wird globalen Organisationen dringend empfohlen, umfassende Attack Surface Management Programme als Teil ihrer Cybersicherheitsstrategien zu implementieren. Der Einsatz externer E-Mail-Dienste auf den Geräten der Organisation verhindert, dass die E-Mail-Inhalte ordnungsgemäß auf Sicherheitsverbesserungen überprüft werden, was möglicherweise zu Phishing-Angriffen führen kann. 

UAC-0010-Aktivitäten erkennen: Sigma-Regeln zum Schutz gegen aufkommende Phishing-Cyberangriffe

Mit der ständig steigenden Anzahl von Phishing-Cyberangriffen, die Tausende von Organisationen weltweit anvisieren, erkennen Cyberverteidiger, dass das proaktive Abwehren der damit verbundenen bösartigen Aktivitäten eine oberste Priorität darstellt, um die Cybersicherheitsposition der Organisation zu verbessern. SOC Prime’s Detection as Code Plattform bietet hochpräzise Warnungen und verifizierte Bedrohungsjäger-Abfragen, die Organisationen ermöglichen, die bösartigen Aktivitäten der Armageddon-Bedrohungsakteure (UAC-0010), die in den neuesten CERT-UA-Warnungen behandelt werden, rechtzeitig zu identifizieren. 

Für eine optimierte Inhaltssuche sind alle Erkennungen gekennzeichnet als #UAC-0010 basierend auf dem mit der gegnerischen Aktivität verbundenen Identifikator. Registrierte SOC Prime-Nutzer können von den dedizierten Sigma-Regeln durch Klicken auf den untenstehenden Link profitieren: 

Sigma-basierte Regeln, um die bösartigen Aktivitäten der Armageddon APT (UAC-0010) zu erkennen, die in den neuesten CERT-UA-Warnungen behandelt werden

Cybersicherheitsexperten sind auch eingeladen, auf weitere Sigma-Regeln zuzugreifen, um Cyberangriffe der Armageddon-Gruppe aka Gamaredon zu erkennen, indem sie auf die Detect and Hunt Schaltfläche unten klicken. Alternativ können InfoSec-Fachleute die Cyber-Bedrohungs-Suchmaschine von SOC Prime für die UAC-0010-Gegneraktivität durchsuchen und sofort umfassende Bedrohungskontexte wie MITRE ATT&CK® und CTI-Referenzen, Medienlinks, ausführbare Dateien, die mit Sigma-Regeln verbunden sind, und mehr kontextuelle Metadaten zusammen mit verwandten Erkennungen auch ohne Registrierung erkunden.

Detect & Hunt Bedrohungskontext erkunden

MITRE ATT&CK® Kontext

Um Einblicke in den MITRE ATT&CK-Kontext der neuesten Cyberangriffe der Armageddon APT-Gruppe aka UAC-0010 zu gewinnen, sind alle dedizierten Sigma-Regeln mit dem MITRE ATT&CK®-Rahmenwerk abgestimmt, um die entsprechenden Taktiken und Techniken zu adressieren: