Bedrohungsakteure nutzen Spear-Phishing-E-Mails, die den UKR.NET-Dienst nachahmen, für Spionage

Dieser Artikel hebt die ursprüngliche Forschung hervor, die von CERT-UA bereitgestellt wurde: https://cert.gov.ua/article/37788 

Am 16. März 2022 identifizierte das Computer Emergency Response Team aus der Ukraine, CERT-UA, eine Spear-Phishing-Kampagne , die darauf abzielt, ukrainische Organisationen mit Cyber-Spyware zu infizieren. Mit einem geringen Maß an Zuversicht, basierend auf den angewandten Taktiken, assoziiert CERT-UA die identifizierte Aktivität mit dem russischen von APT28 unterstützten Kollektiv (UAC-0028). Spear-Phishing ist seit mindestens Juni 2021 der Hauptangriffsvektor von APT28. Die nächsten Schritte der Angreifer umfassen entweder die Exfiltration von Daten oder die Nutzung der kompromittierten E-Mails für weitere Spear-Phishing-Angriffe auf präzise Ziele.

Spear-Phishing-Kampagne infiziert ukrainische Organisationen mit Spyware: CERT-UA-Untersuchung

Die CERT-UA-Untersuchung zeigt eine Spear-Phishing-Kampagne, die E-Mails verteilt, die Nachrichten von UKR.NET imitieren und einen QR-Code mit einer kodierten URL enthalten, die mit einem der URL-Verkürzungsdienste erstellt wurde. Beim Öffnen dieser URL wird das Opfer auf eine Website umgeleitet, die versucht, die UKR.NET-Passwortrücksetzseite zu fälschen. Die Daten, die der Benutzer über einen HTTP-POST-Request eingibt, werden an eine von Angreifern auf der Pipedream-Plattform bereitgestellte Webressource gesendet.

Grafiken, bereitgestellt von CERT-UA, die die auf Spyware-Lieferung abzielende Spear-Phishing-Kampagne veranschaulichen

Globale Indikatoren für Kompromittierung (IOCs)

hxxps://tinyurl[.]com/2p8kpb9v
hxxps://panelunregistertle-348.frge[.]io/
hxxps://eoy7zvsvn6xfcmy.m.pipedream[.]net
hxxps://eo9p1d2bfmioiot.m.pipedream[.]net/?usr=
hxxps://eoiw8lhjwuc3sh2.m.pipedream[.]net
panelunregistertle-348.frge[.]io
eo9p1d2bfmioiot.m.pipedream[.]net
eoiw8lhjwuc3sh2.m.pipedream[.]net
frge[.]io (2021-04-21)
pipedream[.]net (legitimate website)

IOC-basierte Jagdanfragen zur Entdeckung von durch UKR.NET angelockten Phishings

Um Sicherheitspraktikern die automatische Umwandlung der oben genannten IOCs in benutzerdefinierte Jagdanfragen zu ermöglichen, die in fast 20 der beliebtesten SIEM- oder XDR-Umgebungen bereit sind, bietet die SOC Prime Platform das Uncoder CTI-Tool an — jetzt kostenlos verfügbar für alle registrierten Nutzer bis zum 25. Mai 2022.

Bleiben Sie den sich ständig wandelnden Cyber-Bedrohungen voraus und lassen Sie nicht zu, dass Angreifer die Konten Ihrer Organisationen kompromittieren und für ihre bösartigen Zwecke ausnutzen. Ein kollaborativer Cyber-Abwehransatz ermöglicht es, die neuesten und genauesten Bedrohungserkennungsinhalte zu optimieren. Registrieren Sie sich für SOC Prime’s Detection as Code Plattform jetzt, um Zugang zu 23,000 kuratierten Erkennungsregeln zu erhalten, die dazu beitragen, Ihre Cyber-Abwehr zu verbessern.

Angesichts eskalierender russischer Cyber-Bedrohungen bietet SOC Prime mehr als 2,000 Sigma-Regeln an, um mögliche cybergestützte Angriffe aus Russland auf Ihre Infrastruktur zu identifizieren. Bemerkenswerterweise sind alle diese Erkennungen derzeit ohne Kosten im Rahmen der neuesten Quick Hunt-Promo von SOC Prime verfügbar. Suchen Sie einfach in unserer Detection as Code Plattform mit #stopwar, #stoprussian, und #stoprussianagression Tags und beginnen Sie sofort mit dem Quick Hunt-Modul mit der Jagd. Sie können mehr über die Quick Hunt-Promo erfahren in unserem speziellen Artikel.