Bekämpfung der Ursa (auch bekannt als APT28) Angriffserkennung: Gegner zielen auf Diplomaten ab, indem sie ein Auto zum Verkauf als Phishing-Köder verwenden, um die HeadLace-Malware zu verbreiten
Inhaltsverzeichnis:
Die bösartige russische staatlich geförderte APT28-Hackergruppe, auch bekannt als Fighting Ursa, steht im Rampenlicht. Seit dem frühen Frühjahr 2024 haben Gegner Diplomaten in einer langfristigen offensiven Kampagne ins Visier genommen, indem sie ein Auto zum Verkauf als Phishing-Köder nutzen, um HeadLace-Malware zu verbreiten.
Erkennung von Fighting Ursa alias APT28-Angriffen, die HeadLace-Malware verbreiten
Die sich kontinuierlich entwickelnde Infrastruktur der berüchtigten Hackergruppe Fighting Ursa oder APT28 unterstreicht die Notwendigkeit, die Abwehr von Organisationen zu stärken, um sich einen Wettbewerbsvorteil gegenüber den zunehmenden Cyberangriffen der Gruppe zu verschaffen. Die SOC Prime Platform für kollektive Cyberverteidigung kuratiert eine Sammlung von Erkennungsalgorithmen, um Sicherheitsteams proaktiv bei der Abwehr von Fighting Ursas Angriffen zu unterstützen, einschließlich der neuesten Kampagne gegen Diplomaten, die HeadLace-Malware verbreiten.
Klicken Sie auf den Erkennungen erkunden Button unten, um die kuratierten Sigma-Regeln zu erreichen, die nach dem entsprechenden Tag basierend auf der Kennung der Gruppe gefiltert sind. Die bereitgestellten Erkennungsalgorithmen sind mit relevanten Bedrohungsinformationen angereichert, die auf das MITRE ATT&CK®-Framework abgebildetund sind bereit, sofort in das gewählte SIEM-, EDR- oder Data-Lake-Format für über 30 unterstützte Plattformen zu konvertieren.
Sicherheitsingenieure, die nach hochwertigen Erkennungsinhalten suchen, um APT28-TTPs retrospektiv zu analysieren, können auch diesem Link folgen. Für mehr zugehörigen SOC-Inhalt können Organisationen den Threat Detection Marketplace von SOC Prime mit dem Tag “Forest Blizzard” durchsuchen, basierend auf einer anderen identifizierten Gruppe oder diesem Link folgen.
Analyse von Fighting Ursa Angriffen
Forscher von Palo Alto haben kürzlich eine fortlaufende bösartige Kampagne aufgedeckt, die hauptsächlich auf Diplomaten abzielt und der russisch verbundenen Hackergruppe Fighting Ursa (auch bekannt als APT28, Fancy Bear, Forest Blizzard, STRONTIUM, Pawn Storm oder Sofacy Group) zugeschrieben wird. Seit mindestens März 2024 hat eine berüchtigte staatlich unterstützte Gruppe ein Auto zum Verkauf als Phishing-Köder genutzt, um eine modulare Windows-Backdoor namens HeadLace zu verbreiten, die in Stufen arbeitet, wahrscheinlich um Erkennung zu vermeiden und die Malware-Analyse zu erschweren.
APT28, eine von der GRU unterstützte Gruppe, die mit Einheit 26165 der russischen Militärgeheimdienst verbunden ist, ist seit zwei Jahrzehnten in der Cyber-Bedrohungsarena aktiv. Seit Russlands umfassendem Einmarsch in die Ukrainehat die Hackergruppe auch eine Reihe von offensiven Kampagnen gestartet, die den Phishing-Angriffsvektor nutzen, hauptsächlich gegen ukrainische staatliche Stellen und die Verbündeten des Landes.
Bemerkenswerterweise haben russische Hackergruppen seit Jahren Phishing-Köderthemen mit Diplomatendiensten genutzt. Diese Köder sprechen oft Diplomaten an und verlocken Ziele dazu, auf die bösartigen Inhalte zu klicken. Im Jahr 2023 hat ein weiteres russisch-staatlich unterstütztes Hacker-Kollektiv namens APT29 (auch bekannt als NOBELIUM oder CozyBear) einen BMW zum Verkauf als Phishing-Köder genutzt, um diplomatische Missionen in der Ukraine anzugreifen. Fighting Ursa ist dafür bekannt, erfolgreiche Gegnerstrategien für seine eigenen offensiven Operationen wiederzuverwenden und zeigt ähnliche Verhaltensmuster in der jüngsten Kampagne.
Die Infektionskette wird durch eine gefälschte URL ausgelöst, die vom legitimen Webhook.site-Dienst gehostet wird. Fighting Ursa nutzte Webhook.site, um eine URL zu erstellen, die eine bösartige HTML-Seite lieferte. Das waffenfähige HTML enthält mehrere Elemente, die den Angriff automatisieren sollen. Zunächst wird überprüft, ob der besuchende Computer unter Windows läuft. Falls das System nicht Windows-basiert ist, wird der Zielnutzer zu einem Lockbild auf ImgBB weitergeleitet, speziell einem Audi Q7 Quattro SUV. Die betrügerische Anzeige trägt den Titel „Diplomatenfahrzeug zu verkaufen“. Da die endgültige Nutzlast auf Windows abzielt, stellt diese Betriebssystemprüfung wahrscheinlich sicher, dass nachfolgende Aktionen nur für Windows-Nutzer ausgeführt werden. Das HTML generiert dann ein ZIP-Archiv aus Base64-Text innerhalb des HTML, bietet es zum Download an und versucht, es über JavaScript zu öffnen.
Das bösartige Archiv enthält eine legitime Windows-Taschenrechner-Executable, die als Bilddatei getarnt ist, eine DLL und ein Batch-Skript. Die Taschenrechner-Executable lädt die bösartige DLL, Teil der HeadLace-Backdoor, die das Batch-Skript ausführt. Letzteres führt einen Base64-codierten Befehl aus, um eine Datei von einer anderen Webhook.site-URL abzurufen, speichert sie als Bilddatei im Download-Ordner, ändert die Dateierweiterung in .cmd zur Ausführung und löscht sie dann zur Entfernung von Spuren.
Mit seiner sich ständig entwickelnden Infrastruktur, der Nutzung vielfältiger Köder und der Fähigkeit, gegnerische Taktiken zu wiederverwenden, bleibt Fighting Ursa ein beständiger Akteur in der Cyber-Bedrohungsarena. Die Abhängigkeit der Gruppe von legitimen Webdiensten für offensive Zwecke ermutigt Verteidiger dazu, den Zugriff auf solche Dienste zu beschränken und deren Nutzung zu überprüfen, um die Angriffsfläche zu verringern. Verlassen Sie sich auf SOC Primes Attack Detective , um Bedrohungssichtbarkeit zu maximieren, Erkennungsabdeckungsdefizite effektiv zu adressieren, priorisierte SIEM-Anwendungsfälle zu erhalten, um mühelos geräuscharme und wertvolle Alarme zu generieren, und um reibungslos Jagdfähigkeiten zu liefern, um schneller als Angreifer zu handeln.
