PicassoLoader und njRAT-Erkennung: UAC-0057-Hacker führen einen gezielten Angriff gegen ukrainische öffentliche Einrichtungen aus

Cybersicherheitsforscher geben eine Warnung heraus, die einen neuen zielgerichteten Cyberangriff der Gruppe UAC-0057 gegen ukrainische Beamte behandelt, bei dem XLS-Dateien verwendet werden, die ein bösartiges Makro enthalten, das verbreitet PicassoLoader Malware. Der bösartige Loader ist in der Lage, einen weiteren bösartigen Strang namens njRAT abzulegen, um die Infektion weiter zu verbreiten.

Verteilung von PicassoLoader und njRAT Malware durch UAC-0057 Hacker: Angriffsbeschreibung

Am 7. Juli 2023 deckten CERT-UA Forscher ein paar XLS-Dokumente auf, von denen eines ein legitimes Makro enthielt, während das andere ein bösartiges Makro hatte, das von Hackern in der Anfangsphase des Angriffs verwendet wurde. Letzteres zielte darauf ab, das bösartige PicassoLoader-Malware zu dekodieren, zu entschlüsseln, langlebig zu machen und auszuführen. Angreifer nutzten auch PicassoLoader, um njRAT Fernzugriffs-Utility.

herunterzuladen, zu entschlüsseln und auszuführen. UAC-0057 Gruppe , auch bekannt als GhostWriter, die hinter der Kampagne im Juni gegen eine der ukrainischen Universitäten steckt, bei der PicassoLoader und Cobalt Strike Beaconverbreitet wurde. In der laufenden Offensive, die in der entsprechenden CERT-UA#6948 Warnungbehandelt wird, zielen die UAC-0057 Angreifer auch auf die ukrainischen Behörden.

Die Untersuchung hat aufgedeckt, dass die PicassoLoader-Malware nicht bereitgestellt wird, wenn das System durch Avast-, FireEye- und Fortinet-Produkte geschützt ist.

Erkennung von UAC-0057-Angriffen mit PicassoLoader und njRAT

Um Sicherheitsteams mit relevanten Erkennungsalgorithmen auszustatten, um die neuesten UAC-0057 Cyber-Angriffe auf die Ukraine proaktiv zu erkennen, aggregiert die SOC Prime Plattform für kollektive Cyber-Verteidigung eine Sammlung von Sigma-Regeln. Benutzer können diesen Bedrohungserkennungs-Stack erhalten, indem sie den Erkennungen erkunden Button unten drücken oder relevante benutzerdefinierte Tags „CERT-UA#6948“ und „UAC-0057“ anwenden, die mit der Sicherheitswarnung und Identifikatoren des Bedrohungsakteurs verbunden sind.

Alle Regeln sind mit dem MITRE ATT&CK® Framework v12abgebildet, begleitet von umfassender Bedrohungsinformationen und kompatibel mit über 28 SIEM-, EDR- und XDR-Technologien, um auf die spezifischen Cybersicherheitsbedürfnisse der Organisationen einzugehen.

Erkennungen erkunden

Für zielgerichtete Analysen können Teams nach IOCs suchen, die mit dem UAC-0057 Kollektiv verbunden sind, mit Hilfe von Uncoder AI. Einfach relevante von CERT-UA in der neuesten Warnung aufgelistete IOCs in Uncoder AI kopieren und einfügen und den gewünschten Inhaltstyp auswählen, um nahtlos eine benutzerdefinierte IOC-Abfrage zu erstellen, die zu Ihrem Technologie-Stack und aktuellen Sicherheitsbedürfnissen passt.

MITRE ATT&CK Kontext

Um einen umfassenderen Kontext zu den jüngsten Operationen von UAC-0057 im Rahmen der CERT-UA#6948 Warnung zu überprüfen, sind alle relevanten Sigma-Regeln mit ATT&CK v12 ausgerichtet, die die relevanten TTPs der Gegner ansprechen: