UAC-0056 Bedrohungsakteure liefern Cobalt Strike Beacon Malware in einer weiteren Phishing-Kampagne gegen die Ukraine
Inhaltsverzeichnis:
Unmittelbar nach dem Cyberangriff am 5. Juli auf ukrainische Staatsorgane, der der berüchtigten Hacking-Gruppe UAC-0056 zugeschrieben wird, sorgt eine weitere bösartige Kampagne dieser Gruppe für Aufsehen in der Cyberdomäne. Am 11. Juli 2022 warnte CERT-UA, CERT-UA die globale Gemeinschaft vor einem laufenden Phishing-Angriff, bei dem ein Lockthema und ein bösartiger Anhang verwendet werden, die sich auf das Thema Krieg in der Ukraine beziehen. Im letzten Cyberangriff verwenden die Bedrohungsakteure erneut die Phishing-E-Mail als Angriffsvektor, um Cobalt Strike Beacon Malwarezu verteilen. Diesmal werden bösartige E-Mails von den kompromittierten E-Mail-Konten ukrainischer Regierungsbehörden verbreitet.
UAC-0056 Gruppenangriffserkennung: Sigma-Regeln zur rechtzeitigen Identifizierung der bösartigen Aktivität
Um Cybersecurity-Profis dabei zu helfen, die bösartigen Aktivitäten der Hacking-Gruppe UAC-0056 im Zusammenhang mit den neuesten E-Mail-Kampagnen gegen die Ukraine rechtzeitig zu identifizieren, bietet die Plattform von SOC Prime eine Reihe kuratierter Erkennungsalgorithmen, die über den folgenden Link verfügbar sind:
Sigma-Regeln, um die bösartige Aktivität der UAC-0056 Bedrohungsakteure zu erkennen
Bitte beachten Sie, dass nur registrierte Benutzer von SOC Prime Zugriff auf die oben genannten Sigma-Regeln sowie deren Übersetzungen in mehrere SIEM-, EDR- und XDR-Formate erhalten.
Um die Suche nach den relevanten Erkennungsinhalten zu erleichtern und zu beschleunigen, sind alle Sigma-basierten Regeln entsprechend als #UAC-0056 basierend auf der zugehörigen Angreiferaktivität gekennzeichnet. Darüber hinaus sind die Erkennungsinhalte mit dem MITRE ATT&CK® Framework abgestimmt und behandeln die entsprechenden Angreifer-Taktiken und -Techniken, um umfassende Einblicke in den Kontext verwandter Cyberangriffe zu gewährleisten. Bitte beziehen Sie sich auf unseren früheren Blogartikel über die E-Mail-Kampagne von UAC-0056, die auf ukrainische Beamte abzielt, um den Bedrohungskontext basierend auf ATT&CK zu vertiefen.
Cybersecurity-Praktiker, die auf der SOC Prime Plattform registriert sind, können auch die umfassende Liste der Sigma-Regeln zur Erkennung von Cobalt Strike Beacon Malware erkunden, indem sie auf die Detect & Hunt Schaltfläche unten klicken. Darüber hinaus bietet SOC Prime das branchenweit erste Suchwerkzeug, mit dem Sicherheitsteams nach einer bestimmten CVE, Malware, APT oder Exploit suchen und sofort die Liste der entsprechenden Sigma-Regeln in Verbindung mit aufschlussreichen Bedrohungskontexten wie MITRE ATT&CK-Referenzen, CTI-Links, Windows-Ausführungsprogramme, die mit Erkennungen verknüpft sind, und mehr umsetzbare Metadaten erhalten können. Klicken Sie auf die Explore Threat Context Schaltfläche, um alle relevanten Suchergebnisse für Cobalt Strike Beacon auch ohne den Registrierungsprozess zu finden.
Detect & Hunt Explore Threat Context
Cobalt Strike Beacon Malware-Verbreitung: Überblick über einen weiteren Angriff von UAC-0056 gegen ukrainische Beamte
Die neueste Warnmeldung CERT-UA#4941 warnt vor der massenhaften Verbreitung bösartiger E-Mails mit einem Betreff im Zusammenhang mit der humanitären Krise in der Ukraine, die durch den andauernden Vollkrieg ausgelöst wurde, der am 24. Februar ausbrach. Die betreffenden E-Mails enthalten ein XLS-Dokument als Anhang mit einem ähnlichen Lockdateinamen, der die potenziellen Opfer dazu verleitet, es zu öffnen. Letzteres enthält ein bösartiges Makro, das, wenn es geöffnet wird, eine ausführbare Datei „baseupd.exe“ startet, die wiederum dazu führen kann, dass Cobalt Strike Beacon auf den Zielsystemen installiert wird.
Bemerkenswerterweise teilt der neueste Cyberangriff eine Reihe von Ähnlichkeiten mit der vorherigen bösartigen Kampagne gegen ukrainische Staatsorgane, einschließlich der Malware, die zur Verbreitung der Infektion ausgewählt wurde, und der Cyberkriminellen, die hinter dieser E-Mail-Kampagne stehen. Basierend auf den TTPs des Angreifers wird der Cyberangriff ebenfalls der Hacking-Gruppe UAC-0056 zugeschrieben, auch bekannt als SaintBear.
Die bösartigen Aktivitäten der UAC-0056 Bedrohungsakteure, die sich gegen die Ukraine richten, haben eine Geschichte, die auf die Phishing-Kampagne im März 2022 zurückgeht, die Cobalt Strike Beacon, GrimPlant und GraphSteel Malware-Probenverbreitet. Darüber hinaus werden diese Bedrohungsakteure auch mit dem zerstörerischen Cyberangriff auf die Ukraine in Verbindung gebracht, bei dem WhisperGate Datenlösch-Malware eingesetzt wurde.
Es wird dringend empfohlen, die Multi-Faktor-Authentifizierung als zusätzliche Sicherheitsebene für E-Mails anzuwenden, um Organisationen eine bessere Absicherung gegen Cyberangriffe zu ermöglichen, die den E-Mail-Angriffsvektor nutzen.
Registrieren Sie sich für SOC Primes Detection as Code Plattform um eine All-in-One-Lösung zu finden, die Ihrem Team hilft, die Bedrohungskomplexität und Datenqualitätsherausforderungen nahtlos zu bewältigen, unterstützt durch die Kraft der kollaborativen Cyberabwehr. Suchen Sie nach neuen Möglichkeiten, um Ihre Threat Hunting und Detection Engineering-Fähigkeiten zu verbessern? Treten Sie dem Threat Bounty Programm bei, um Ihr Fachwissen in wiederkehrende finanzielle Vorteile umzusetzen, mit umfangreichen Möglichkeiten zur Anerkennung unter Branchenkollegen und zur Selbstentwicklung. Erstellen Sie Sigma- und YARA-Regeln, teilen Sie sie mit der Community und monetarisieren Sie Ihre Erkennungsbemühungen mit der gemeinschaftlichen Initiative von SOC Prime.
