Erkennung der Cobalt Strike Beacon-Malware: Ein neuer Cyberangriff auf ukrainische Regierungsorganisationen, der der Gruppe UAC-0056 zugeschrieben wird

[post-views]
Juli 07, 2022 · 3 min zu lesen
Erkennung der Cobalt Strike Beacon-Malware: Ein neuer Cyberangriff auf ukrainische Regierungsorganisationen, der der Gruppe UAC-0056 zugeschrieben wird

Der berüchtigte Cobalt Strike Beacon Malware wurde im Frühjahr 2022 aktiv von mehreren Hacker-Kollektiven als Teil des andauernden Cyberkriegs gegen die Ukraineverbreitet, hauptsächlich in gezielten Phishing-Angriffen auf ukrainische staatliche Stellen. Am 6. Juli 2022 hat CERT-UA eine Warnmeldung herausgegeben , die vor einer neuen bösartigen E-Mail-Kampagne warnt, die sich gegen ukrainische Regierungseinrichtungen richtet. Der andauernde Cyberangriff beinhaltet die massenhafte Verbreitung von E-Mails mit einem Köder-Betreff und einem XLS-Dateianhang, der ein bösartiges Makro enthält, das zu einer Ausbreitung der Cobalt Strike Beacon Malware-Infektion auf einem kompromittierten System führt. 

Cobalt Strike Beacon Verteilung: CERT-UA Details zum neuesten UAC-0056 Angriff gegen die Ukraine

Bereits im März 2022 beobachteten CERT-UA Forscher die Aktivitäten der Hackergruppe UAC-0056, die Cobalt Strike Beacon zusammen mit anderen Malware-Stämmen in einer Phishing-Kampagne gegen ukrainische Regierungseinrichtungenverbreitete. Der neueste Cyberangriff, der von CERT-UA gemeldet wurde, zeigt Ähnlichkeiten mit dem vorherigen Vorfall, indem er denselben Angriffsvektor nutzt und identische Verhaltensmuster anwendet, die der Aktivität der UAC-0056 Gruppe zugeschrieben werden können. 

Die Angriffskette beginnt mit einer Phishing-E-Mail, die militärbezogene Köder enthält und ein bösartiges XLS-Dokument angehängt hat. Im Falle, dass der Benutzer dazu verleitet wird, das Dokument zu öffnen und ein eingebettetes Makro zu aktivieren, wird eine bösartige Datei „write.exe“ auf der infizierten Instanz ausgeführt. Die CERT-UA-Analyse zeigt, dass diese Datei als Dropper fungiert, um ein PowerShell-Skript auszulösen. Zusätzlich stellt „write.exe“ die Persistenz sicher, indem sie einen „Check License“-Schlüssel in der Windows-Registry erstellt. 

In der nächsten Angriffsphase umgeht das PowerShell-Skript AMSI, deaktiviert das Event-Logging für PowerShell und stellt die Dekodierung und Extraktion des PowerShell-Skripts der zweiten Stufe sicher, das auf eine Cobalt Strike Beacon-Infektion abzielt. 

Erkennung von UAC-0056-Aktivitäten: Sigma-Regeln zur Erkennung neuer Angriffe auf die ukrainische Regierung

Um Cyber-Abwehrkräften bei der proaktiven Erkennung und Minderung der bösartigen Aktivitäten im Zusammenhang mit dem jüngsten Angriff auf ukrainische Regierungseinrichtungen zu helfen, bietet die Detection as Code-Plattform von SOC Prime eine Sammlung von kuratierten Sigma-Regeln an. Für eine optimierte Suche nach relevantem Erkennungsinhalt sind alle Sigma-Regeln in Anlehnung an die feindlichen Aktivitäten unter dem Hashtag #UAC-0056 gekennzeichnet, die bei dem CERT-UA#4914-Alarm zu diesem jüngsten Cyberangriff behandelt werden. Um sofort auf die Erkennungsalgorithmen zuzugreifen, folgen Sie dem untenstehenden Link, nachdem Sie sich bei SOC Primes Plattform angemeldet oder eingeloggt haben:

Sigma-Regeln zur Erkennung der bösartigen Aktivitäten der UAC-0056-Gruppe 

Um die vollständige Liste von Erkennungsregeln und Jagdanfragen zu erhalten, mit denen Cybersicherheitsexperten die bösartige Präsenz von Cobalt Strike Beacon in ihrer Umgebung rechtzeitig identifizieren können, klicken Sie auf den Erkennen & Jagen Button unten. Durchsuchen Sie die Suchmaschine für Cyberbedrohungen von SOC Prime, um sofort zu den Sigma-Regeln zu gelangen, die die bösartigen Aktivitäten der UAC-0056-Akteure erkennen, zusammen mit detaillierten kontextuellen Metadaten, wie MITRE ATT&CK®- und CTI-Referenzen, CVE-Beschreibungen und mehr relevanten Bedrohungskontext.

Erkennen & Jagen Entdecken Sie Bedrohungskontext

MITRE ATT&CK® Kontext

Um Einblicke in den Kontext der Cyberangriffe zu gewinnen, die der Aktivität der UAC-0056-Gruppe zugeschrieben werden, die auf ukrainische Regierungsbeamte abzielt, sind alle oben genannten Sigma-Regeln mit dem MITRE ATT&CK® Framework abgestimmt, das die entsprechenden Taktiken und Techniken behandelt:

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

UAC-0099 Angriffserkennung: Hacker Zielen auf Regierungs- und Verteidigungsbehörden in der Ukraine mit den Malwaretypen MATCHBOIL, MATCHWOK und DRAGSTARE
Blog, Neueste Bedrohungen — 6 min zu lesen
UAC-0099 Angriffserkennung: Hacker Zielen auf Regierungs- und Verteidigungsbehörden in der Ukraine mit den Malwaretypen MATCHBOIL, MATCHWOK und DRAGSTARE
Veronika Telychko
UAC-0001 (APT28) Angriffserkennung: Russland-gestützter Akteur setzt LAMEHUG-Malware mit LLM gegen Sicherheits- und Verteidigungssektor ein
Blog, Neueste Bedrohungen — 5 min zu lesen
UAC-0001 (APT28) Angriffserkennung: Russland-gestützter Akteur setzt LAMEHUG-Malware mit LLM gegen Sicherheits- und Verteidigungssektor ein
Veronika Telychko
UAC-0001 (APT28) Angriffserkennung: Russische staatlich unterstützte Gruppe greift Regierungsstellen mit BEARDSHELL- und COVENANT-Malware an
Blog, Neueste Bedrohungen — 5 min zu lesen
UAC-0001 (APT28) Angriffserkennung: Russische staatlich unterstützte Gruppe greift Regierungsstellen mit BEARDSHELL- und COVENANT-Malware an
Veronika Telychko