Russland-verbundene APT28 (UAC-0028) Bedrohungsakteure verbreiten CredoMap_v2 Malware bei Phishing-Angriff auf die Ukraine
Inhaltsverzeichnis:
Im Laufe eines andauernden Cyberkriegssuchen russische Hackergruppen nach neuen Wegen, um die ukrainischen Organisationen im Cyberbereich lahmzulegen. Am 6. Mai 2022 hat CERT-UA eine Warnung herausgegeben vor einem weiteren Phishing-Angriff auf ukrainische staatliche Stellen. Der Cyberangriff wird der böswilligen Aktivität berüchtigter russischer staatlich unterstützter Bedrohungsakteure zugeschrieben, die als APT28 (alias Fancy Bear APT) auch als UAC-0028 bezeichnet werden.
Analyse des Cyberangriffs von APT28
Der jüngste Cyberangriff beinhaltete das Spoofen von E-Mails, wobei sich die Bedrohungsakteure als Sicherheitsinformation von CERT-UA ausgaben. Die Angreifer wollten die Opfer dazu bringen, ein bösartiges, passwortgeschütztes RAR-Archiv zu öffnen, das als E-Mail-Anhang eine Infektionskette auslöst. Beim Öffnen enthielt dieses eine SFX-Datei, die wiederum zur Verbreitung einer bösartigen Software namens CredoMap_v2 führte, der aktualisierten Version eines Info-Stealers. Die verwendete Malware nutzt das HTTP-Protokoll zur Datenexfiltration, wodurch gestohlene Anmeldeinformationen zu einer in der Open-Source-Plattform Pipedream bereitgestellten Web-Ressource gesendet werden können.
Laut dem Staatsdienst für besondere Kommunikation und Informationsschutz der Ukraine (SSSCIP) wurde die APT28/UAC-0028 Hackergruppe auch hinter einer Reihe von Cyberangriffen auf die kritische Infrastruktur der Ukraine im März 2022 gesichtet.
Bei anderen Cyberangriffen der APT28-Hackergruppe wurden bedrohte Akteure beobachtet, die auf europäische Regierungseinrichtungen und militärische Institutionenabzielten. Sie verwendeten ähnliche Angriffsvektoren, einschließlich Phishing-E-Mails, die Malware-Stämme ablegten, nachdem ein bösartiger Makro aktiviert wurde. Früher waren Angreifer auch in einer Cyber-Spionage-Kampagne zu sehen, die den berüchtigten Zebrocy Trojaner und Cannon Malware über E-Mails verteilten, die das Trendthema zur Katastrophe der Lion Air Boeing 737 als Phishing-Köder verwendeten.
Um das Risiko der durch schädliche Software verbreiteten Infektionen zu minimieren, empfiehlt CERT-UA dringend, E-Mails mit passwortgeschützten Anhängen und solchen, die sich auf die aktuellsten und berichtenswürdigen Themen beziehen, die als Phishing-Köder dienen können, genau im Auge zu behalten, um die Opfer durch das Öffnen der Dateien zu kompromittieren. Organisationen sollten Software-Einschränkungsrichtlinien anwenden, die das Blockieren von EXE-Dateien durch die entsprechenden Betriebssystemeinstellungen und Sicherheitsmaßnahmen ermöglichen.
Sigma-Regeln zur Erkennung von APT28 (UAC-0028) Angriff unter Nutzung von CredoMap_v2 Malware
Um eine proaktive Erkennung der böswilligen Aktivitäten im Zusammenhang mit APT28, einschließlich der neuesten CredoMap_v2-Kampagne, sicherzustellen, hat das SOC Prime-Team eine Reihe spezialisierter Sigma-Regeln entwickelt:
Sigma-Regeln zur Erkennung der böswilligen Aktivitäten von UAC-0028
Melden Sie sich bei SOC Prime’s Detection as Code Plattform an, um alle Inhalte zur jüngsten APT28-Kampagne gegen die Ukraine zu erhalten oder eine benutzerdefinierte Suche mit einem #UAC-0028-Tag durchzuführen, um andere verwandte Erkennungen aufzudecken.
Detection-Ingenieure können auch einfach nach Bedrohungen im Zusammenhang mit den böswilligen Aktivitäten von UAC-0028 suchen, die mit einem speziellen Quick Hunt Modul der Plattform im Blickpunkt stehen.
MITRE ATT&CK® Kontext: APT28 Phishing-Angriff
Für einen detaillierten Kontext hinter dem jüngsten Phishing-Cyberangriff von APT28/UAC-0028 auf die Ukraine sind die oben genannten Erkennungsalgorithmen mit dem MITRE ATT&CK Framework abgestimmt, das auf die entsprechenden Taktiken und Techniken eingeht:
