Erkennung von UAC-0057-Angriffen: Eine Zunahme gegnerischer Aktivitäten beim Verteilen von PICASSOLOADER und Cobalt Strike Beacon

[post-views]
Juli 25, 2024 · 3 min zu lesen
Erkennung von UAC-0057-Angriffen: Eine Zunahme gegnerischer Aktivitäten beim Verteilen von PICASSOLOADER und Cobalt Strike Beacon

Verteidiger haben einen plötzlichen Anstieg der gegnerischen Aktivitäten der UAC-0057 Hackergruppe beobachtet, die sich auf lokale Regierungsbehörden in der Ukraine richtet. Angreifer verteilen bösartige Dateien, die Makros enthalten, die darauf abzielen, PICASSOLOADER auf den angezielten Computern zu starten, was zur Lieferung von Cobalt Strike Beaconführt.

UAC-0057-Aktivität im CERT-UA#10340-Alarm erkennen

Seit dem Ausbruch des umfassenden Kriegeshat die Hacking-Gruppe UAC-0057 wiederholt ukrainische Organisationen ins Visier genommen. Um die neueste UAC-0057-Kampagne zu erkennen und die Aktivitäten der Gruppe im Rückblick zu analysieren, können sich Cyber-Verteidiger auf die Plattform von SOC Prime für kollektive Cyber-Verteidigung verlassen, die ein vollständiges Produktsortiment für KI-gesteuertes Detection Engineering, automatisierte Bedrohungsjagd und Validierung von Erkennungs-Stacks bietet.

Über den unten stehenden Link können Sicherheitsexperten auf den umfassenden Erkennungs-Stack zugreifen, der die neueste UAC-0057-Aktivität adressiert. Alternativ können Experten den Threat Detection Marketplace durchsuchen, indem sie Erkennungen anhand des „CERT-UA#10340“-Tags basierend auf der Alarm-ID filtern.

Sigma-Regeln zur Erkennung von UAC-0057-Angriffen basierend auf dem CERT-UA#10340-Alarm

Alle Erkennungsalgorithmen sind dem MITRE ATT&CK®-Frameworkzugeordnet, mit umsetzbarem CTI und Metadaten angereichert und sind bereit, in Dutzenden von cloud-nativen und On-Premise-Sicherheitsanalyseplattformen eingesetzt zu werden.

Um den umfassenderen Erkennungs-Stack zu erhalten, der die Taktiken, Techniken und Verfahren von UAC-0057 abdeckt, können Sicherheitstechniker die relevante Sigma-Regel-Sammlung durch Klicken auf die Erkennungen erkunden Schaltfläche unten aufrufen.

Erkennungen erkunden

The der spezielle CERT-UA-Alarm bietet auch eine Sammlung von IOCs zur Identifizierung von Angriffen in Bezug auf die neueste UAC-0057-Kampagne. Durch die Nutzung von SOC Primes Uncoder AIkönnen Verteidiger die IOC-Abstimmung vereinfachen, indem sie relevante Bedrohungsinformationen sofort in benutzerdefinierte, leistungsoptimierte Abfragen konvertieren, die auf das Sprachformat des gewählten SIEM oder EDR zugeschnitten sind und bereit für die Jagd in der ausgewählten Umgebung sind.

UAC-0057-Angriffsanalyse

Die UAC-0057-Gruppe, auch bekannt unter dem Namen GhostWriter, hat 2023 mehrere offensive Operationen gestartet, die sich hauptsächlich gegen ukrainische Staatsorgane richteten. Beispielsweise startete im September 2023 UAC-0057 eine bösartige Kampagne gegen die ukrainische Regierung und Bildungseinrichtungen und missbrauchte eine WinRAR-Zero-Day-Schwachstelle (CVE-2023-38831), um PICASSOLOADER bereitzustellen. Im Sommer 2023 verwendete die Gruppe den gleichen Loader, um gezielte Netzwerke mit njRAT zu infizieren.

Im Juli 2024 beobachtete CERT-UA einen plötzlichen Anstieg der Aktivitäten der Gruppe. Gegenspieler nutzten Dateien mit bösartigen Makros, um sich auf den betroffenen Systemen zu verbreiten. PICASSOLOADER and Cobalt Strike Beacon Laut dem

According to the neuesten CERT-UA-Alarm über die UAC-0057-Aktivität sind die Inhalte der aufgedeckten Dateien mit Makros („oborona.rar“, „66_oborona_PURGED.xls“, „trix.xls“, „equipment_survey_regions_.xls“, „accounts.xls“, „spreadsheet.xls“, „attachment.xls“, „Podatok_2024.xls“) mit der Reform der lokalen Verwaltung, Besteuerung und finanzwirtschaftlichen Indikatoren verknüpft.

Basierend auf der CERT-UA-Forschung könnte UAC-0057 sowohl Projektspezialisten als auch ihre Kollegen unter den Mitarbeitern der relevanten lokalen Regierungsbehörden in der Ukraine ins Visier genommen haben.

MITRE ATT&CK-Kontext

Die Nutzung von MITRE ATT&CK bietet umfangreiche Einblicke in die Verhaltensmuster in Bezug auf die neueste bösartige Aktivität von UAC-0057, die auf lokale Regierungsbehörden in der Ukraine abzielen. Erkunden Sie die Tabelle unten, um die vollständige Liste der spezifischen Sigma-Regeln zu sehen, die auf die entsprechenden ATT&CK-Taktiken, -Techniken und -Subtechniken abzielen.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

UAC-0226 Angriffserkennung: Neue Cyber-Spionage-Kampagne zielt mit GIFTEDCROOK Stealer auf ukrainische Innovationszentren und Regierungsbehörden ab
Blog, Neueste Bedrohungen — 4 min zu lesen
UAC-0226 Angriffserkennung: Neue Cyber-Spionage-Kampagne zielt mit GIFTEDCROOK Stealer auf ukrainische Innovationszentren und Regierungsbehörden ab
Veronika Telychko
Erkennung von UAC-0219-Angriffen: Eine neue Cyber-Spionage-Kampagne mit einem PowerShell Stealer WRECKSTEEL
Blog, Neueste Bedrohungen — 4 min zu lesen
Erkennung von UAC-0219-Angriffen: Eine neue Cyber-Spionage-Kampagne mit einem PowerShell Stealer WRECKSTEEL
Veronika Telychko
UAC-0200 Angriffsdetektion: Cyber-Spionage-Aktivität, die auf den Verteidigungssektor und die Streitkräfte der Ukraine mit DarkCrystal RAT abzielt
Blog, Neueste Bedrohungen — 3 min zu lesen
UAC-0200 Angriffsdetektion: Cyber-Spionage-Aktivität, die auf den Verteidigungssektor und die Streitkräfte der Ukraine mit DarkCrystal RAT abzielt
Veronika Telychko