CredoMap- und Cobalt-Strike-Beacon-Erkennung: APT28-Gruppe und UAC-0098-Bedrohungsakteure greifen erneut ukrainische Organisationen an
Inhaltsverzeichnis:
Am 20. Juni 2022 veröffentlichte CERT-UA zwei separate Warnungen, die die globale Cybersicherheitsgemeinschaft vor einer neuen Welle von Cyberangriffen auf ukrainische Organisationen warnen, bei denen die bösartige Zero-Day-Schwachstelle, die aktiv in freier Wildbahn ausgenutzt wird, als CVE-2022-30190 aka Follinaausgenutzt wird. In der CERT-UA#4842 -Warnung enthüllten Cybersicherheitsforscher die bösartigen Aktivitäten einer Hackergruppe, die als UAC-0098 identifiziert wurde und Cobalt Strike Beacon -Malware verbreitet. Eine weitere Warnung CERT-UA#4843 hebt die Verbreitung der CredoMap-Malware hervor, die der bösartigen Aktivität der berüchtigten russischen nationengestützten Hackergruppe APT28 zugeschrieben wird, auch bekannt als UAC-0028.
Erkennen Sie die bösartige Aktivität von APT28 und UAC-0098, die bei Cyberangriffen auf die Ukraine beobachtet wurden
Um Cybersicherheitsexperten proaktiv beim Verteidigen gegen die in den Warnungen CERT-UA#4842 und CERT-UA#4843 abgedeckten bösartigen Aktivitäten zu unterstützen, bietet die Detection-as-Code-Plattform von SOC Prime ein Paket spezieller Sigma-Regeln. Für eine reibungslose Inhaltssuche sind alle Erkennungsalgorithmen basierend auf der gegnerischen Aktivität, die mit relevanten Angriffen verbunden ist, wie z. B. #UAC-0098gekennzeichnet, oder basierend auf der entsprechenden CERT-UA-Warnungsidentifikation, wie CERT-UA#4843. SOC Prime-Nutzer werden aufgefordert, sich mit ihrem aktuellen Konto auf der Plattform anzumelden oder ein neues zu erstellen und zu aktivieren, um Zugriff auf die speziellen Regelkits zu erhalten:
Sigma-Regeln zur Erkennung der bösartigen Aktivitäten der UAC-0098-Gruppe, einschließlich der jüngsten Angriffe, die in der CERT-UA#4842-Warnung behandelt werden
Sigma-Regeln zur Erkennung der bösartigen Aktivitäten, die in der CERT-UA#4843-Warnung behandelt werden
Alle oben genannten SOC-Content-Elemente, die nach den entsprechenden Tags gefiltert wurden, sind mit dem MITRE ATT&CK®-Framework ausgerichtet und sind mit branchenführenden SIEM-, EDR- und XDR-Lösungen kompatibel, die es Teams ermöglichen, Erkennungs- und Jagdfähigkeiten an ihre spezifischen Bedrohungsprofile und Umgebungsanforderungen anzupassen.
Außerdem finden Sie unten eine umfassende Liste Sigma-basierter Regeln zur Erkennung der bösartigen Aktivitäten des APT28-Hacker-Kollektivs, das auch als UAC-0028 identifiziert wurde und in der neuesten Kampagne aufgefallen ist, die CredoMap-Malware verbreitet, neben einer Reihe früherer Phishing-Angriffe auf die Ukraine:
Sigma-Regeln zur Erkennung der bösartigen Aktivität von APT28/UAC-0028
Um die umfassende Liste der Sigma-Regeln für die Erkennung des CVE-2022-30190-Schwachstellenausbeutungsangriffes zu gelangen, können registrierte SOC Prime-Nutzer auf die Detect & Hunt Schaltfläche klicken und sofort zur speziellen Erkennungsstapelung gelangen. Cybersicherheitsexperten können auch ohne Registrierung bei SOC Prime blättern, um die neuesten Trends in der Cyberbedrohungsarena sofort zu erkunden, auf die neu veröffentlichten Sigma-Regeln zuzugreifen und Einblicke in relevante kontextuelle Informationen zu erhalten.
Detect & Hunt Bedrohungskontext erkunden
CredoMap- und Cobalt Strike Beacon-Malware-Verteilung: Übersicht der neuesten Angriffe auf die Ukraine
Im Juni 2022 beobachteten Cybersicherheitsforscher laufende in-freier-hWild-Angriffe gegen ukrainische Regierungseinrichtungen, die die Windows CVE-2022-30190 Zero-Day-Schwachstelle ausnutzen und Cobalt Strike Beacon-Malware verbreiten. In den neuesten bösartigen Kampagnen, die sich gegen ukrainische Organisationen richten, nutzen die Bedrohungsakteure APT28 und UAC-0098 weiterhin die CVE-2022-30190-Schwachstelle, um Cobalt Strike Beacon- und CredoMap-Malware-Beispiele zu liefern, wobei ein ähnlicher Angriffsvektor unter Verwendung eines Köderanhangs angewendet wird.
Beide Malware-Stämme, die in den neuesten, von den oben genannten CERT-UA-Warnungen abgedeckten Angriffen verwendet wurden, standen bereits im Mittelpunkt der Cybersicherheitsforscher während des laufenden globalen Cyberkrieges dar, bei dem es sich um einen Phishing-Angriffsvektor handelt. Anfang dieses Jahres, im April 2022, wurde festgestellt, dass die auch als TrickBot bekannte UAC-0098-Hackergruppe Cobalt Strike Beacon in einer Phishing-Kampagne verbreitet hat, die sich gegen ukrainische Beamte richtete und E-Mails im Zusammenhang mit Azovstal verwendete. Was die vorherigen Phishing-Kampagnen der russischen APT-28-Gruppe betrifft, auch bekannt als UAC-0028, so wurde im März 2022 festgestellt, dass sie hinter einem Cyberangriff auf ukrainische Staatsorgane stand und die aktualisierte Version der CredoMap-Malware namens CredoMap_v2nutzt.
In den neuesten Kampagnen, die durch die CERT-UA#4842 and CERT-UA#4843 Warnungen hervorgehoben werden, haben Gegner ein Lockdokument verwendet, das eine Infektionskette auslöst und zum Herunterladen einer HTML-Datei führt, gefolgt von der Ausführung von bösartigem JavaScript-Code, der die Malware weiter auf den kompromittierten Systemen verbreitet. Im Cyberangriff, der der UAC-0098-Gruppe zugeschrieben wird, wurde die Lock-DOCX-Datei mittels E-Mail-Spoofing geliefert, wobei ein gefälschter E-Mail-Absender als Staatlicher Steuerdienst der Ukraine ausgegeben wurde.
Mit einer steigenden Anzahl von Angriffsvolumen, die die moderne Cyber-Bedrohungslandschaft prägt, sind Cybersicherheitsexperten ständig auf der Suche nach verbesserten Cyberabwehrfähigkeiten und neuen Wegen für eine optimierte Bedrohungsermittlung. Die Detection-as-Code-Plattform von SOC Prime nutzt die Möglichkeiten der kollaborativen Cyberabwehr, um globale Organisationen dabei zu unterstützen, die Bedrohungserkennung zu verbessern und die Geschwindigkeit der Bedrohungsjagd effizienter als je zuvor zu beschleunigen. Darüber hinaus haben individuelle Cybersicherheitsexperten, die daran interessiert sind, ihre eigenen Erkennungsregeln zu erstellen, die brillante Möglichkeit, dem Threat Bounty Program beizutreten und in Aktion zu sehen, wie ihr Inhaltsbeitrag hilft, eine sicherere Zukunft zu gestalten.