Verbreitung von Cobalt Strike Beacon Malware durch gezielte Phishing-E-Mails im Zusammenhang mit Azovstal: Cyberangriff auf ukrainische Regierungseinrichtungen

Am 18. April 2022, CERT-UA gab eine Warnung über laufende Cyberangriffe auf ukrainische staatliche Stellen heraus. Laut der Forschung waren Regierungsmitarbeiter gezielten Phishing-Angriffen ausgesetzt, die E-Mails mit Bezug zu Asowstal verwendeten und schädliche Anhänge enthielten, die Cobalt Strike Beacon -Malware verbreiteten. Die erkannte Aktivität spiegelt die Verhaltensmuster der als UAC-0098 verfolgten Hackergruppe wider, auch bekannt als TrickBot.

Phishing-Cyberangriffe mit Cobalt Strike Malware: Überblick und Analyse

Vor über einem Monat sahen sich ukrainische Regierungsstellen Phishing-Angriffen ausgesetzt, bei denen E-Mail-Köder mit schädlichen Dateien verbreitet wurden, die nacheinander heruntergeladen wurden, um das Zielsystem mit einer Reihe von Malware-Sorten zu infizieren, einschließlich des Cobalt Strike Beacon, des standardmäßigen Malware-Payloads zum Aufbau einer Verbindung zum Team-Server und zur Modellierung fortschrittlicher Angreifer. 

Es ist bekannt, dass Cobalt Strike Beacon früher in Malware-Vertriebskampagnen verwendet wurde, einschließlich der Cyberangriffe, die die CVE-2018-20250-Schwachstelle in the WinRAR -Archivierung ausnutzten. In diesem Cyberangriff wurden schädliche Archive über Spam-E-Mails zugestellt und lösten die Infektionskette aus, um schädliche Skripte und andere Payloads auszuführen. 

In dem jüngsten Cyberangriff der UAC-0098-Bedrohungsakteure wurde das schädliche Payload über Phishing-E-Mails verbreitet, deren Betreff sich auf Asowstal bezog. Die betreffenden zielgerichteten E-Mails enthielten XLS-Anhänge und schädliche Makros, die in der Infektionskette enthalten waren, die zur Lieferung von Cobalt Strike Beacon und zur Kompromittierung des Computers des Opfers führten. Basierend auf den angewandten Verschlüsselungstechniken wurde die aufgedeckte Aktivität der bösartigen Russland-affiliierten Malware-Bande TrickBot. 

Sigma verhaltensbasierter Inhalt zur Erkennung von Cyberangriffen durch UAC-0098, die Cobalt Strike Beacon Malware verbreiten

Sicherheitsfachleute können sich proaktiv gegen Cyberangriffe verteidigen, die von der UAC-0098-Hackergruppe mit einer Reihe kuratierter, Sigma-basierter Erkennungsregeln des SOC Prime Teams verbreitet werden:

Sigma-Regeln zur Erkennung der von UAC-0098 verbreiteten Cobalt Strike Beacon

Der gesamte Erkennungsstapel ist als #UAC-0098 gekennzeichnet, um eine optimierte Inhaltssuche nach verwandten Bedrohungen zu ermöglichen. Bitte melden Sie sich für den Zugriff auf die Regeln bei SOC Prime’s Detection as Code -Plattform an oder loggen Sie sich mit Ihrem vorhandenen Konto ein. 

Teams können auch nach Bedrohungen suchen, die mit der Aktivität der UAC-0098-Hackergruppe in Verbindung stehen, indem sie die oben genannte Jagdinhalt mit SOC Prime’s Quick Hunt -Modul verwenden.

MITRE ATT&CK® Kontext

Sicherheitsexperten können sich in den Kontext des neuesten, mit Azowstal in Verbindung stehenden Phishing-Angriffs auf ukrainische staatliche Stellen basierend auf dem MITRE ATT&CK-Framework vertiefen. Alle dedizierten, sigma-basierten Inhalte sind auf das neueste MITRE ATT&CK-Framework v.10 abgestimmt, das die entsprechenden Taktiken und Techniken adressiert: