Erkennung von CredPump, HoaxPen und HoaxApe Backdoor: UAC-0056 Hacker starten störende Angriffe auf ukrainische Regierungswebsites, die über ein Jahr zuvor geplant wurden
Inhaltsverzeichnis:
Mit dem Näherkommen des einjährigen Jahrestags des Ausbruchs eines vollwertigen Krieges in der Ukraine, adressierten Cyberverteidiger die Risiken potenzieller Angriffe gegen die Ukraine und ihre Verbündeten durch russische Angriffskräfte. Am 23. Februar deckten CERT-UA-Cybersicherheitsforscher die bösartige Aktivität auf, die der Hackergruppe UAC-0056zugeschrieben wird, die in bösartigen Kampagnen gegen die Ukraine beobachtet wurde, bei denen im Juli 2022 der Phishing-Angriffspfad genutzt wurde. In der aufgedeckten Gegner-Kampagne zielten die Bedrohungsakteure darauf ab, die Integrität und Verfügbarkeit von Regierungswebseiten zu stören, indem sie mehrere Backdoors nutzten, die bereits vor über einem Jahr gepflanzt worden waren.
Analyse von destruktiven Cyberangriffen gegen die Ukraine durch die mit Russland verbundene UAC-0056-Gruppe
Am 23. Februar 2023 gab CISA eine Warnung heraus , die US-amerikanische und europäische Organisationen dazu aufrief, ihre Cyber-Wachsamkeit im Hinblick auf potenzielle Cyberangriffe durch russische Angreifer zu erhöhen. Cyberverteidiger warnten Organisationen und einzelne Nutzer vor den hohen Risiken von zerstörerischen Angriffen gegen mehrere Webseiten anlässlich des einjährigen Jahrestags der vollständigen russischen Invasion in der Ukraine. Die Warnung wurde kurz nach der Entdeckung der bösartigen zerstörerischen Aktivität gegen die ukrainischen Regierungswebseiten durch CERT-UA-Forscher herausgegeben und in der entsprechenden CERT-UA#6060-Warnungbehandelt.
CERT-UA-Cybersicherheitsforscher haben einen Vorfall aufgedeckt, der auf ukrainische Regierungsstellen abzielte und darauf ausgerichtet war, die Integrität und Verfügbarkeit staatseigener Informationswebseiten zu beeinträchtigen. Basierend auf den beobachteten Verhaltensmustern kann die Aktivität der Gegner der Hackergruppe UAC-0056 (DEV-0586, unc2589) oder Ember Bear zugeschrieben werden.
Das Hacker-Kollektiv steckte hinter einer Reihe von Phishing-Angriffen auf ukrainische Staatsstellen im Hochsommer 2022, die Cobalt Strike Beacon Malwareverbreiteten. Ember Bear gilt als mutmaßlich von der russischen Nation unterstützte Cyber-Spionage-Gruppe, die seit März 2021 in der Cyber-Bedrohungslandschaft beobachtet wird und hauptsächlich auf die Ukraine und Georgien sowie auf Organisationen in Europa und den USA in verschiedenen Branchen, einschließlich Finanzen und Pharma, abzielt. Die mit Russland verbundene UAC-0056-Gruppe könnte auch hinter dem WhisperGate-Datenschredder-Angriff zu Beginn des Jahres 2022 stecken.
Am 23. Februar 2023 deckten Forscher eine der verschlüsselten Web-Shells bei einer der kompromittierten Web-Ressourcen auf, die nachweislich von Angreifern in der Nacht zuvor genutzt wurde. Durch die bösartige Aktivität wurde eine neue „index.php“-Datei im Stammverzeichnis der Webressource erstellt. Diese Datei ermöglichte die Änderung des Inhalts der Startseite der kompromittierten Webressource. Bedrohungsakteure kommunizierten mit der Web-Shell unter Verwendung von IP-Adressen, einschließlich solcher, die den benachbarten Geräten anderer gehackter Organisationen gehörten, aufgrund ihres früheren Konto-Missbrauchs und der darauf folgenden VPN-gestützten Verbindung zu den entsprechenden Organisationen.
In dieser laufenden Kampagne haben Gegner eine berüchtigte SSH-Backdoor namens CredPump (als RAM-Modul eingesetzt) genutzt, die es Angreifern ermöglicht, Remote-SSH-Zugriff zu erlangen und eine Protokollierung von Anmeldeinformationen über SSH-Verbindungen zu aktivieren. Andere entdeckte Malware-Varianten, bekannt als HoaxPen und HoaxApe-Backdoors, wurden bereits im Februar 2022 eingesetzt, um eine Code-Ausführung zu ermöglichen, ein Jahr bevor die bösartige Kampagne gestartet wurde.
In den frühen Stadien des Angriffszyklus setzten Bedrohungsakteure andere Malware-Proben ein, einschließlich der GOST (Go Simple Tunnel) und Ngrok-Werkzeuge, um die HoaxPen-Backdoor zu implementieren. Bemerkenswert ist, dass Bedrohungsakteure unerlaubten Fernzugriff auf die Zielsysteme im Voraus planten, bevor sie die bösartige Kampagne starteten.
Erkennung der bösartigen Aktivität der UAC-0056-Gruppe, die in der CERT-UA#6060-Warnung behandelt wird
Da CERT-UA und CISA Warnungen herausgeben, die vor laufenden und potenziellen Russland-affilierten destruktiven Aktionen gegen die Ukraine und ihre Verbündeten warnen, sollten Organisationen und einzelne Nutzer umgehend Maßnahmen ergreifen, um proaktiv gegen die damit verbundene bösartige Aktivität zu verteidigen und ihre Cyber-Wachsamkeit zu verstärken. Die Detection as Code Plattform von SOC Prime kuratiert eine Reihe von Sigma-Regeln zur Erkennung der bösartigen Aktivität der berüchtigten UAC-0056-Gruppe, die hinter der letzten Kampagne steckt, die in der CERT-UA#6060-Warnungbehandelt wurde. Die Erkennungen sind an das MITRE ATT&CK® Framework v12 angepasst und können sofort in 27+ SIEM-, EDR- und XDR-Lösungen umgewandelt und in die organisationsspezifische Umgebung bereitgestellt werden. Für eine optimierte Inhaltssuche werden alle Sigma-Regeln mit dem entsprechenden benutzerdefinierten Tag “CERT-UA#6060” basierend auf der CERT-UA-Warnungskennung gefiltert.
Klicken Sie auf die Explore Detection Schaltfläche, um die gesamte Liste der relevanten Erkennungsalgorithmen zu erreichen, bereichert mit tiefgehendem Cyber-Bedrohungskontext, wie ATT&CK-Referenzen und CTI-Links, Milderungen und ausführbaren Binärdateien, die mit Sigma-Regeln verbunden sind.
MITRE ATT&CK Kontext
Um den Kontext hinter der neuesten von CERT-UA#6060 alertierten UAC-0056 bösartigen Kampagne zu erkunden, sind alle dedizierten Sigma-Regeln automatisch mit ATT&CK getaggt, um die entsprechenden Taktiken und Techniken zu adressieren:
Seit dem 24. Februar 2022 hat Russland über 2.100 Cyberangriffe gegen die Ukraine und ihre Verbündeten gestartet, von denen einige wie im Fall der neuesten Aktivität der UAC-0056-Hacker bereits früher geplant waren. Um Teams dabei zu helfen, den aktuellen und aufkommenden von Russland unterstützten Bedrohungen immer einen Schritt voraus zu sein, nutzen Sie das auf Wohltätigkeit basierende #Sigma2SaveLives Abonnement , das direkten Zugang zu über 500 Sigma-Regeln gegen von der russischen Nation unterstützte APT-Gruppen sowie 50 Erkennungen Ihrer Wahl bietet. Erhalten Sie das Abonnement mit 100% der Einnahmen, die zur Unterstützung der Verteidigung der Ukraine gespendet werden, unter https://my.socprime.com/pricing/.
