Trident Ursa alias Gamaredon APT-Angriffserkennung: Von Russland unterstützte Hacker intensivieren offensive Aktivitäten, indem sie eine Erdölraffinerie in einem NATO-Land ins Visier nehmen

Seit dem vollständigen Einmarsch Russlands in die Ukraine im Februar 2022 hat die berüchtigte, mit Russland verbundene Hackergruppe Trident Ursa, die auch als Armageddon APT aka Gamaredon oder UAC-0010 verfolgt wird, ihre offensiven Operationen mit dem Ziel Ukraine und deren Verbündete gestartet. Seit über zehn Monaten hat das Hacker-Kollektiv eine Reihe von Phishing-Cyberangriffen durchgeführt, die in den entsprechenden CERT-UA Warnungen behandelt werden und seine bösartige Aktivität kontinuierlich eskaliert.

Cybersicherheitsforscher beobachten die offensiven Operationen der UAC-0010-Gruppe genau, die zu den eindringlichsten und fokussiertesten APTs zählt, die die Ukraine und deren Verbündete an der Cyber-Front im Visier haben. Mit dem Versuch von Trident Ursa, ein großes Raffinerieunternehmen in einem NATO-Land anzugreifen, müssen sich Cyberverteidiger mit proaktiven Abwehrfähigkeiten gegen Eindringlinge wappnen.

Trident Ursa (UAC-0010) Gegneraktivität erkennen

Die bösartige Aktivität der von Russland unterstützten Cyber-Espionage-Gruppe, hauptsächlich bekannt als Armageddon APT, Gamaredon oder Trident Ursa, nimmt derzeit in der Cyber-Bedrohungslandschaft zu. Die Detection as Code-Plattform von SOC Prime ist darauf ausgelegt, Verteidiger weltweit proaktiv Angriffe zu vereiteln und der gesamten Gemeinschaft einen Wettbewerbsvorteil im laufenden Cyberkrieg zu verschaffen. SOC Prime kämpft an der Cyber-Front des Krieges und hilft der Ukraine und ihren Verbündeten, das Land vor russischer Aggression zu schützen, während es die Abwehrfähigkeiten mit Sigma und MITRE ATT&CK® Technologien stärkt.

Um Organisationen zu helfen, die offensive Aktivität von Trident Ursa rechtzeitig zu identifizieren, hat die SOC Prime Plattform eine Reihe dedizierter Sigma-Regeln veröffentlicht, die von unseren Threat Bounty Inhaltsautoren entwickelt wurden, Wirapong Petshagun and Kaan Yeniyol. Folgen Sie dem unten stehenden Link, um diese Algorithmen, die dem neuesten MITRE ATT&CK Framework v12 zugeordnet sind, sofort zu erreichen und sich eingehend mit ihrem Cyber-Bedrohungskontext zu befassen:

Sigma-Regeln, um die neueste bösartige Aktivität von Trident Ursa zu erkennen

Die Sigma-Regel von Wirapong Petshagun befasst sich mit der Taktik Command and Control mit dem Application Layer Protocol (T1071) als Haupttechnik, während der von Kaan Yeniyol entwickelte Erkennungsalgorithmus die Taktik Execution und die zugehörige Scheduled Task/Job (T1053) Technik adressiert.

Die SOC Prime Plattform kuratiert auch eine weitere Sigma-Regel, um die neuesten bösartigen Kampagnen von Gamaredon APT alias UAC-0010 zu erkennen. Diese Erkennung, verfasst von unserem produktiven Threat Bounty Entwickler, Kyaw Pyiyt Htet (Mik0yan) behandelt die Taktiken Persistenz und Abwehrumgehung, die durch die entsprechenden Techniken Boot- oder Logon-Autostart-Ausführung (T1547) und Registerbearbeitung (T1112) ATT&CK vertreten sind.

Alle oben genannten Sigma-Regeln können in über 15 SIEM-, EDR-, XDR-Lösungen und Datenanalyse-Plattformen genutzt werden.

Möchten Sie Ihre Sigma- und ATT&CK-Fähigkeiten meistern, während Sie zu einer sichereren Zukunft beitragen? Treten Sie dem Threat Bounty Programmbei, das es angehenden Inhaltsautoren ermöglicht, einen zukünftigen Lebenslauf zu kodieren, professionelle Fähigkeiten durch geteilte Expertise zu erweitern und ihre Erkennungsinhalte zu monetarisieren.

Um die umfassende Liste der Sigma-Regeln zur Erkennung der UAC-0010 Gegneraktivität zu erreichen, klicken Sie auf den Erkennungen durchsuchen Button unten. Sicherheitsingenieure können relevante Erkennungsalgorithmen nach dem benutzerdefinierten Tag „UAC-0010“ filtern und Metadaten wie ATT&CK-Kontext, CTI-Links, Binärdateien und mehr erkunden.

Erkennungen durchsuchen

Seit dem Ausbruch des umfassenden Krieges in der Ukraine ist das Land unter ständigen Cyberangriffen der mit Russland verbundenen Hackergruppe, die den Cyberverteidigern unter verschiedenen Namen bekannt ist, darunter Armageddon APT, Gamaredon, Trident Ursa, Shuckworm, UAC-0010, und Primitive Bear. Laut dem Sicherheitsdienst der Ukraine, wird das Hacker-Kollektiv mit dem russischen Föderalen Sicherheitsdienst in Verbindung gebracht und zielt darauf ab, nachrichtendienstliche und subversive Aktivitäten gegen die Ukraine und NATO-Verbündete im Cyberbereich zu starten.

Die APT-Gruppe hat aktiv den Phishing-Angriffsvektor ausgenutzt. CERT-UA-Cybersicherheitsforscher bemühen sich ständig, die Aufmerksamkeit der Cyberverteidiger auf die zunehmend bösartige Aktivität dieser Gruppe, die sie als UAC-0010 identifizieren, zu lenken. Bedrohungsakteure starteten im April und Mai eine Welle von Phishing-Angriffen, die hauptsächlich auf ukrainische Staatsbehörden abzielten, bei denen sie die GammaLoad.PS1-Malware und deren erweiterte Version, GammaLoad.PS1_v2nutzten. Im August 2022 setzten sie GammaLoad- und GammaSteel-Nutzlasten ein, um die kompromittierten Systeme in einer anderen Phishing-Kampagne zu infizieren. In einem neueren Angriff im Novemberwurde beobachtet, dass das Hacker-Kollektiv massiv gefälschte E-Mails verbreitete, wobei der Absender als der Staatliche Sonderkommunikationsdienst der Ukraine getarnt war, um einen bösartigen Anhang mit einer HTML-Datei auszunutzen, die eine Infektionskette auslöste.

Der neueste Bericht von Palo Alto Networks Unit 42 gibt Einblicke in die wachsenden Bedrohungen, die der gegnerischen Aktivität von Trident Ursa zugeschrieben werden. Basierend auf ihrer Forschung hat das Team von Unit 42 sein Angriffsspektrum über die Ukraine hinaus erweitert. Ende September 2022 unternahmen Bedrohungsakteure einen erfolglosen Versuch, ein großes Raffinerieunternehmen in einem Land, das zu den NATO-Mitgliedern gehört, zu kompromittieren, was den Konflikt an der Cyber-Front eskalierte.

Die berüchtigte, mit Russland verbundene Hackergruppe stellt die Verteidigungskräfte vor gewaltige Herausforderungen, indem sie kontinuierlich ihre gegnerischen TTPs aufrüstet und Erkennungsausweichtechniken verbessert. Zum Beispiel wenden Bedrohungsakteure die Fast-Flux-DNS-Technik an, um die Resilienz ihrer bösartigen Operationen zu verstärken und Anti-Malware-Analyseverfahren zu behindern. Andere von Trident Ursa verwendete gegnerische Techniken umfassen das Umgehen von DNS über legitime Webdienste und Telegram Messenger sowie das Verbergen wahrer IP-Zuweisungen durch die Verwendung von Subdomains für ihre bösartigen Operationen anstelle von Root-Domains.

Trident Ursa setzt häufig eine Reihe mehrerer gegnerischer Methoden ein, um die angezielten Systeme zunächst über VBScript-Code zu kompromittieren und liefert häufig bösartige Inhalte durch HTML-Dateianhänge, die als Phishing-Köder verwendet werden.

Als potenzielle Minderungsmaßnahmen empfiehlt Unit 42 die Implementierung einer zuverlässigen DNS-Sicherheitslösung und die gründliche Überwachung des gesamten Netzwerkverkehrs, der mit AS 197695 kommuniziert.

Trident Ursa, auch bekannt als Gamaredon APT, ist ein anpassungsfähiges Hacker-Kollektiv, das kontinuierlich sein gegnerisches Toolkit erweitert, neue Verschleierungstechniken nutzt und neue Domains ausnutzt, was eine Bedrohung für die Ukraine und ihre Verbündeten darstellt. Um offensiven Fähigkeiten proaktiv zu widerstehen, erkunden Sie unsere Sigma Regeln Suchmaschine und rüsten Sie sich mit den relevantesten Erkennungen gegen aktuelle und aufkommende Bedrohungen sowie in-depth Cyber-Bedrohungsinformationen aus.