RauchLoader-Malware erkennen: UAC-0006 schlägt erneut zu und zielt mit einer Serie von Phishing-Angriffen auf die Ukraine
Inhaltsverzeichnis:
Heiß auf den Fersen der massiven Phishing-Angriffe, die von UAC-0006 gestartet wurden Anfang Mai 2023 warnt CERT-UA Cyber-Verteidiger vor einer neuen Welle von Cyberangriffen, die zu SmokeLoader-Infektionen führen. Die jüngste Untersuchung zeigt, dass die Gegner vermehrt Phishing-E-Mails mit finanziellem Bezug versenden und ZIP/RAR-Anhänge verwenden, um bösartige Proben auf den Zielinstanzen abzulegen.
Analyse der UAC-0006 Phishing-Angriffe, die auf die Verbreitung von SmokeLoader abzielen
Am 29. Mai 2023 veröffentlichten CERT-UA-Experten eine neue CERT-UA#6757 Warnung mit Details zur laufenden Phishing-Kampagne der UAC-0006-Hackergruppe. Durch den Einsatz von bösartigen Anhängen mit einem speziellen JavaScript-Downloader liefern die Gegner SmokeLoader an gezielte Systeme aus. Insbesondere nutzen die Hacker entweder ZIP- oder RAR-Archive, die bösartige HTML- oder VHDX-Dateien enthalten. Bei Extraktion löst das Archiv JavaScript-Code aus, der anschließend die ausführbare Datei herunterlädt und startet, die später SmokeLoader ablegt, um die Infektion weiter zu verbreiten.
Das CERT-UA-Team identifiziert mehrere bemerkenswerte Aktualisierungen in der UAC-0006-Angriffs-Kill-Chain im Vergleich zu der ähnlichen Phishing-Kampagne, die Anfang Mai 2023 gestartet wurde. Insbesondere beobachten Experten, dass die Angreifer dazu neigen, mehrere Infektionsketten zu verwenden. Außerdem enthält die in der neuesten Kampagne verwendete SmokeLoader-Probe 26 URL-Links zu einem Server, der ein Botnet steuert. Zusätzlich identifizierte CERT-UA ein bösartiges Cobalt Strike Beacon , das während der Eindringlinge eingesetzt wurde, was darauf hinweist, dass UAC-0006 beabsichtigt, sein Toolkit zu erweitern.
Erkennung der neuesten UAC-0006-Gegneraktivitäten
Nur ein paar Wochen nach den massiven Phishing-Angriffen, die SmokeLoader verbreiteten, tauchten die für frühere Eindringlinge verantwortlichen UAC-0006-Bedrohungsakteure erneut auf, um erneut zuzuschlagen. Aufgrund der Änderungen in den TTPs der Gegner und der Verwendung mehrerer Infektionsketten in der neuesten offensiven Operation können Organisationen potenziell ernsthafteren Risiken ausgesetzt sein, was dringende Aufmerksamkeit von Cyber-Verteidigern erfordert. SOC Prime hat kürzlich eine Reihe relevanter Sigma-Regeln veröffentlicht, um bösartige Aktivitäten der UAC-0006-Gruppe, die im letzten CERT-UA#6757 Warnhinweisbehandelt werden, rechtzeitig zu erkennen. Alle Erkennungsinhalte sind gemäß dem entsprechenden Warnhinweis und den Gruppen-IDs mit den benutzerdefinierten Tags „CERT-UA#6757“ oder „UAC-0006“ gefiltert, wodurch Forscher die Suche nach Inhalten und Bedrohungsjagd-Aktivitäten vereinfachen können.
Drücken Sie den Detektionen erkunden Knopf, um sofort auf die gesamte Sammlung von Sigma-Regeln für die Erkennung von UAC-0006-Angriffen zuzugreifen, die auf MITRE ATT&CK® abgebildet und automatisch in führende SIEM-, EDR- und XDR-Lösungen konvertierbar sind. Um relevante Metadaten, ATT&CK-Links und CTI-Referenzen zusammen mit anderen Cyber-Bedrohungskontexten zu erkunden, sind sie ebenfalls zur Hand.
SOC-Teammitglieder sind auch eingeladen, nach IOCs zu suchen, die mit der bösartigen Aktivität von UAC-0006 verbunden sind, indem sie Uncoder AInutzen, ein erweitertes Intelligenz-Framework, das als ultimatives Werkzeug für Bedrohungsjäger und Erkennungstechniker dient und die Umwandlung von IOCs in benutzerdefinierte IOC-Abfragen ohne Grenzen ermöglicht. Fügen Sie einfach die in der CERT-UA#6757 Warnung bereitgestellten Date, Host oder Netzwerk-IOCs in das Tool ein, wählen Sie die Plattform Ihrer Wahl, passen Sie die Abfrageeinstellungen an Ihre Sicherheitsanforderungen an und seien Sie bereit, sofort nach relevanten Bedrohungen in Ihrer SIEM- oder EDR-Umgebung zu suchen.
MITRE ATT&CK Kontext
Um in die TTPs einzutauchen, die während des jüngsten Angriffs durch die UAC-0006-Hackergruppe eingesetzt wurden, die SmokeLoader verbreitet, sind alle oben genannten Sigma-Regeln an ATT&CK abgebildet und adressieren die entsprechenden Taktiken und Techniken:
