Jester Stealer Malware-Erkennung: Phishing-Angriffe, die von der UAC-0104-Hackergruppe verbreitete Infos stehlende Malware verbreiten
Inhaltsverzeichnis:
Eine Welle neuer Phishing-Cyberangriffe hat kürzlich die Ukraine erfasst. Unmittelbar nach einem Angriff der APT28-Bedrohungsakteure, die die informationsstehlende Schadsoftware CredoMap_v2 verbreiten, hat eine weitere Hackergruppe kürzlich Phishing-E-Mails verteilt, die eine Malware namens Jester Stealer einsetzen, wie CERT-UA berichtet. Diese jüngste bösartige Aktivität wurde als UAC-0104 verfolgt, basierend auf den Verhaltensmustern der Angreifer.
Analyse des neuesten Angriffs von UAC-0104 auf Jester Stealer
Informationsdiebe, die es Angreifern ermöglichen, sensible Daten der Opfer zu exfiltrieren, entwickeln sich ständig weiter, zusammen mit Phishing als einem der effektivsten Angriffsvektoren. Proben von informationsstehlender Malware exfiltrieren häufig Daten aus Webbrowsern, MAIL-/FTP-/VPN-Clients, Kryptowährungs-Wallets, Passwortmanager usw. Die neu entdeckte Jester Stealer-Kampagne nutzt informationsstehlende Malware, die von Cyble Research Labs im Februar 2022 aufgedeckt wurde.
im neuesten Cyberangriff durch Phishing-E-Mails, die mit Jester Stealer infiziert sind, haben die Bedrohungsakteure das Thema „chemischer Angriff“ als Köder genutzt, um Benutzer dazu zu bringen, E-Mails zu öffnen, die einen Link zu einer XLS-Datei mit einem bösartigen Makro enthalten. Nach dem Öffnen der Datei und dem Aktivieren des Makros startet dieses eine ausführbare Datei, die das System weiter mit der oben genannten informationsstehlenden Malware-Strain infiziert. Exfiltrierte Daten können dann über den Telegram-Messaging-Dienst über statistisch definierte Proxy-Adressen, einschließlich des TOR-Netzwerks, mit Angreifern geteilt werden. Der von der UAC-0104-Gruppe verwendete Informationsdieb nutzt eine Reihe von Techniken, um die Malware-Analyse zu erschweren und verfügt nicht über einen Persistenzmechanismus. Durch eine Reihe von Updates hat die Malware nach und nach ihre Fähigkeiten erweitert, einschließlich AES-CBC-256-Verschlüsselung, Protokollspeicherung im Speicher sowie Unterstützung für Anti-Sandbox- und Anti-VM-Funktionen. Außerdemlöscht sich Jester Stealer nach Abschluss der bösartigen Operation selbst, was den Bedrohungsakteuren ermöglicht, der Entdeckung zu entgehen.
Jester Stealer Malware erkennen
Um es InfoSec-Praktikern zu ermöglichen, Infektionen durch Jester Stealer rechtzeitig zu erkennen und Cyberangriffe zu entdecken, die den UAC-0104-Bedrohungsakteuren zugeschrieben werden, kuratiert die Plattform von SOC Prime eine Reihe dedizierter Erkennungsalgorithmen, die unten verfügbar sind:
Sigma-Regeln zur Erkennung der bösartigen Aktivität im Zusammenhang mit der UAC-0104-Gruppe
Cybersecurity-Profis werden aufgefordert, sich mit ihrem aktuellen Konto bei der Plattform von SOC Prime anzumelden oder sich für einen sofortigen Zugang zu den oben genannten Erkennungsinhalten zu registrieren. Die Plattformkapazitäten ermöglichen eine direkte Suche nach den relevanten Inhaltsgegenständen mit einem benutzerdefinierten Tag #UAC-0104, das mit dem entsprechenden Hacker-Kollektiv verknüpft ist.
Darüber hinaus kann dieses Regelkit genutzt werden, um nach Cyberbedrohungen im Zusammenhang mit der bösartigen Aktivität der UAC-0104-Gruppe zu suchen, indem das Quick Hunt Modul von SOC Prime verwendet wird, was die Jagd einfacher denn je macht.
MITRE ATT&CK® Kontext: Neue Phishing-Angriffe von UAC-0104
Um Einblicke in das Verhalten der Angreifer hinter den neuesten UAC-0104-Angriffen, bei denen Jester Stealer Malware eingesetzt wird, zu gewinnen, sind die oben genannten Sigma-basierten Erkennungen auf das MITRE ATT&CK-Framework abgebildet, das die entsprechenden Taktiken und Techniken adressiert:
