Metasploit Meterpreter Malware-Erkennung: Neuer Phishing-Cyberangriff auf ukrainische Regierungseinrichtungen im Zusammenhang mit UAC-0098 und TrickBot-Gruppen
Inhaltsverzeichnis:
Am 28. April 2022 hat CERT-UA eine Warnung veröffentlicht , die auf den neuesten Phishing-Cyberangriff auf ukrainische Regierungseinrichtungen unter Verwendung des Metasploit-Frameworks hinweist. Die bösartige Aktivität kann den Verhaltensmustern von Gegnern einer Gruppe zugeordnet werden, die als UAC-0098 verfolgt wird. Zudem wird angenommen, dass dieser jüngste Angriff auf die Aktivitäten der TrickBot -Hacker-Kollektivs zurückgeführt werden kann, einer berüchtigten mit Russland in Verbindung stehenden Ransomware-Bande, die als Betreiber von hochentwickelten Botnets bekannt ist und mit fortschrittlichen Bedrohungsakteuren wie FIN6 and undund
zusammenarbeitet, in gezielten bösartigen Kampagnen, die für die Verbreitung von Malware konzipiert sind.
Metasploit ist ein Open-Source-Framework, um eine Penetrationstesting-Umgebung zu erstellen, um Exploits zu entwickeln, zu testen und auszuführen. Es ist ein weit verbreitetes und leistungsstarkes Werkzeug, das sowohl von Bedrohungsakteuren als auch von White-Hat-Hackern genutzt wird, um Schwachstellen in Netzwerken und Servern von Interesse zu prüfen. Das Metasploit-Framework bietet eine Vielzahl von Tools und Funktionen für Penetrationstests, einschließlich eines bekannten Meterpreters.
Meterpreter-Malware , die beim neuesten Cyberangriff auf ukrainische staatliche Stellen eingesetzt wurde, ist eine hochentwickelte Nutzlast, die verschlüsselte Kommunikation nutzt, sich in den kompromittierten Prozess injiziert und sich nahtlos über Netzwerke bewegen kann, wodurch die Infektionsverbreitung erleichtert wird und unzureichende forensische Beweise hinterlassen werden.
Am 28. April 2022 veröffentlichte CERT-UA eine Warnung über eine Phishing-Kampagne, die ein kriegsthematisches Köderdokument verwendete und bösartige ISO-Dateien lieferte. Insbesondere verbreiteten Bedrohungsakteure eine betrügerische Verordnung des Präsidenten der Ukraine, die eine DOCX-Köderdatei, eine LNK-Verknüpfungsdatei, ein PowerShell-Skript und eine ausführbare Datei enthielt. Sobald gestartet, löst die LNK-Datei die Infektionskette aus, indem sie ein PowerShell-Skript ausführt, das wiederum eine DOCX-Datei öffnet und dann eine EXE-Datei ausführt. Dadurch wird der Computer des Opfers mit Meterpreter-Malware infiziert.
Die CERT-UA-Untersuchung ordnet die Kampagne den von Russland unterstützten Gruppen UAC-0098 und TrickBot zu, basierend auf den beobachteten Ähnlichkeiten der bösartigen Verhaltensmuster.
Sigma-Regeln zur Erkennung der UAC-0098- und Trickbot-Kampagne
Um die Infrastruktur der Organisation gegen Phishing-Cyberangriffe durch UAC-0098-Hacker, einschließlich der neuesten Kampagne mit Metasploit Meterpreter, zu schützen, hat das SOC Prime Team eine Reihe dedizierter Sigma-Regeln bereitgestellt:
Sigma-Regeln zur Erkennung der bösartigen Aktivitäten der UAC-0098-Gruppe
Registrieren Sie sich auf der Detection as Code-Plattform von SOC Prime, um über den obigen Link auf alle Inhalte zuzugreifen oder eine benutzerdefinierte Suche mit dem entsprechenden #UAC-0098-Tag durchzuführen.
Sicherheitspraktiker können auch mit den oben genannten Erkennungsinhalten nach Bedrohungen im Zusammenhang mit den bösartigen Aktivitäten der UAC-0098-Gruppe mit dem Quick Hunt-Modul.
jagen.
Um in den Kontext des neuesten Phishing-Angriffs der Gruppen UAC-0098 und TrickBot auf ukrainische staatliche Stellen mit dem Metasploit Meterpreter einzutauchen, sind alle relevanten Sigma-Regeln mit dem MITRE ATT&CK-Framework abgestimmt, das entsprechende Taktiken und Techniken anspricht:
Tactics | Techniques | Sigma Rules |
Initial Access | Phishing (T1566) | |
Defense Evasion | Subvert Trust Controls (T1553) | |
Signed Binary Proxy Execution (T1218) | ||
Masquerading (T1036) | ||
Execution | Command and Scripting Interpreter (T1059) |
