Malware Robainformación AgentTesla Distribuido en Ciberataques a Entidades Gubernamentales de Ucrania

[post-views]
julio 20, 2022 · 4 min de lectura
Malware Robainformación AgentTesla Distribuido en Ciberataques a Entidades Gubernamentales de Ucrania

Debido a la guerra cibernética global impulsada por la invasión a gran escala de Rusia a Ucrania, los ataques en el ámbito cibernético contra entidades gubernamentales ucranianas están en continuo aumento. Una semana después de la campaña de phishing del grupo UAC-0056 entregando Cobalt Strike Beacon, aparece otro ciberataque dirigido a funcionarios ucranianos usando malware de robo de información.  

El 20 de julio de 2022, CERT-UA emitió una alerta advirtiendo a los defensores cibernéticos sobre un ciberataque en curso contra entidades gubernamentales ucranianas que abusa del tema de la guerra y difunde un RAT notorio llamado AgentTesla (también escrito como Agent Tesla). La cadena de infección se inicia por un archivo malicioso que contiene una miniatura de señuelo relacionada con el Comando Operacional Sur (OC South). Como resultado de la operación maliciosa, las computadoras comprometidas pueden ser infectadas con el malware AgentTesla. 

Qué es el spyware AgentTesla: Análisis del último ciberataque a Ucrania

A lo largo de la guerra cibernética en curso contra Ucrania, los adversarios ya han aplicado cepas de malware de robo de información, como en la campaña maliciosa de abril de 2022 distribuyendo el IcedID Trojan. Ese ciberataque fue atribuido a la actividad adversaria del colectivo de hackers UAC-0041, que también estuvo vinculado a la entrega del troyano de spyware AgentTesla en operaciones maliciosas anteriores contra Ucrania.

Según la investigación de CERT-UA, el último ciberataque dirigido a las instituciones gubernamentales ucranianas también involucra la entrega de muestras de AgentTesla. Este infame RAT emergió en el ámbito de amenazas cibernéticas en 2014, y desde entonces, ha evolucionado continuamente para usar diversas técnicas avanzadas para evadir la detección. AgentTesla se entrega comúnmente a través del vector de ataque de phishing y es capaz de robar credenciales de navegadores web y múltiples programas de software como Microsoft Outlook. 

En la campaña adversaria más reciente, el infostealer AgentTesla se ha entregado a través de un archivo PPT que activa un macro malicioso que infecta aún más el sistema objetivo. El archivo PPT contiene una miniatura JPEG de señuelo relacionada con el tema de la guerra Rusia-Ucrania, que proporciona una referencia al OC South, una formación de las Fuerzas Terrestres Ucranianas en la parte sur de Ucrania. Una vez abierto y habilitado un macro, este último crea y lanza tanto un archivo LNK de acceso directo como uno ejecutable. El archivo EXE es un programa basado en NET, que aplica la herramienta de ofuscación ConfuserEx, descarga un archivo JPEG, decodifica y descomprime los datos, y finalmente termina ejecutando el infostealer AgentTesla en el sistema comprometido.

Detectar actividad maliciosa cubierta por la alerta CERT-UA#4987

Para ayudar a las organizaciones a protegerse contra el troyano spyware AgentTesla distribuido en el ciberataque más reciente en cuerpos estatales ucranianos, la plataforma Detection as Code de SOC Prime ofrece un conjunto de reglas Sigma que pueden convertirse automáticamente a múltiples formatos SIEM, EDR y XDR. Para la búsqueda de contenido simplificada, todas las reglas Sigma están etiquetadas como CERT-UA#4987 basadas en la alerta correspondiente de CERT-UA. Para obtener acceso a este conjunto de detección, asegúrese de registrarse o iniciar sesión en la plataforma de SOC Prime y luego siga el enlace a continuación:

Reglas Sigma para detectar la actividad maliciosa cubierta por la alerta CERT-UA#4987

Para identificar a tiempo las muestras de malware AgentTesla en el entorno de la organización, acceda a la lista completa de algoritmos de detección haciendo clic en el botón Detect & Hunt . Además, los profesionales de ciberseguridad pueden explorar SOC Prime para conocer el contexto de amenaza más reciente vinculado al malware AgentTesla, incluyendo referencias MITRE ATT&CK® y CTI junto con una lista de reglas Sigma dedicadas. Haga clic en el botón Explore Threat Context para profundizar instantáneamente en la información completa relacionada con la amenaza.

Detect & Hunt Explore Threat Context

Contexto MITRE ATT&CK®

Para profundizar en el contexto del último ciberataque contra Ucrania cubierto por la alerta CERT-UA#4987, todas las reglas Sigma dedicadas están alineadas con el marco MITRE ATT&CK que abordan las tácticas y técnicas correspondientes:

Tactics 

Techniques

Sigma Rule

Initial Access

Phishing (T1566)

Defense Evasion

Signed Binary Proxy Execution (T1218)

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Malware Koske: Nueva Amenaza Linux Generada con IA en Circulación 6 min de lectura Últimas Amenazas Detección de Malware Koske: Nueva Amenaza Linux Generada con IA en Circulación by Veronika Telychko Inteligencia de Amenazas con IA 15 min de lectura SIEM y EDR Inteligencia de Amenazas con IA by Veronika Telychko CyberLock, Lucky_Gh0$t y la Detección de Numero: Hackers Arman Instaladores Falsos de Herramientas de IA para Ataques de Ransomware y Malware 7 min de lectura Últimas Amenazas CyberLock, Lucky_Gh0$t y la Detección de Numero: Hackers Arman Instaladores Falsos de Herramientas de IA para Ataques de Ransomware y Malware by Veronika Telychko
Todas las noticias