Spyware AgentTesla Masivamente Distribuido en Campañas de Phishing Dirigidas a Organizaciones de Ucrania, Austria y Alemania

El 30 y 31 de agosto de 2022, CERT-UA reveló una explosión de actividad adversaria distribuyendo masivamente correos electrónicos de phishing entre organizaciones de Ucrania, Austria y Alemania. Según la alerta CERT-UA#5252 correspondiente, los hackers explotan el vector de adjuntos de correo electrónico para propagar el notorio malware roba-información AgentTesla. La actividad maliciosa puede atribuirse a los patrones de comportamiento del colectivo de hacking rastreado como UAC-0120. info-stealing malware. The malicious activity can be attributed to the behavior patterns of the hacking collective tracked as UAC-0120.

Distribución de Malware AgentTesla: Análisis de las Últimas Campañas de Correo Electrónico por UAC-0120 

Desde que el mundo entró en la guerra cibernética global cuando Rusia lanzó su gran invasión de Ucrania, los colectivos de hackers vinculados a Rusia intensificaron su actividad maliciosa lanzando campañas de ciberespionaje y ciberataques destructivos. Como parte de esas campañas, los adversarios aprovecharon muestras de malware roba-información, como el troyano IcedID y el spyware AgentTesla. Este último pertenece a uno de los troyanos spyware más utilizados diseñados para robar datos sensibles de usuarios comprometidos. El malware AgentTesla surgió en ataques cibernéticos anteriores contra Ucrania atribuidos a la actividad maliciosa del grupo de hacking UAC-0041. 

El 31 de agosto de 2022, CERT-UA emitió una alerta CERT-UA#5252 advirtiendo a la comunidad global de defensores cibernéticos sobre una nueva ola de ciberataques del grupo de hacking UAC-0120 que dispersa masivamente el spyware AgentTesla. Los adversarios lanzan campañas de correo electrónico de phishing en curso dirigidas a organizaciones de Ucrania, Austria y Alemania. Estos correos contienen adjuntos IMG maliciosos llamados «Technisches Zeichnen» (“Dibujo Técnico”) utilizados como cebos de phishing para engañar a las víctimas para que los abran y propaguen la infección. El cebo IMG viene con un archivo CHM, que, si se abre, ejecuta código JavaScript malicioso. Este último descarga y lanza el archivo node.txt a través de un script de PowerShell. 

Como resultado, el código de PowerShell ejecuta archivos DLL y EXE, siendo el último el spyware AgentTesla, que infecta los sistemas comprometidos. Según la investigación de CERT-UA, correos electrónicos de phishing similares fueron enviados el 11 de agosto, pero usaron otros cebos para los asuntos de correo electrónico y archivos adjuntos. 

Detección de la Actividad UAC-0120: Reglas Sigma para Defenderse Proactivamente Contra Ataques de Phishing que Propagan AgentTesla

Para defenderse proactivamente contra la emergente actividad adversaria de colectivos de hacking diversos que diseminan malware roba-información, los investigadores de ciberseguridad buscan formas de mejorar las capacidades de detección de amenazas y acelerar la velocidad de búsqueda de amenazas. El equipo de SOC Prime selecciona un conjunto único de reglas Sigma para detectar la actividad maliciosa del grupo UAC-0120, responsable de los ciberataques en curso que distribuyen el spyware AgentTesla. Dado que estas campañas de phishing se dirigen a múltiples organizaciones de Ucrania, Austria y Alemania, los defensores cibernéticos deben mantenerse alerta para identificar oportunamente la infección en la infraestructura de sus organizaciones y mitigar la posible amenaza. 

Los practicantes de ciberseguridad pueden navegar por SOC Prime para las amenazas relacionadas basadas en el identificador de grupo “UAC-0120” y acceder instantáneamente a reglas Sigma relevantes enriquecidas con metadatos contextuales informativos, como referencias de MITRE ATT&CK® y CTI:

Reglas Sigma para detectar la actividad maliciosa del grupo UAC-0120 distribuyendo masivamente el malware AgentTesla

Todas las reglas Sigma están disponibles en la plataforma Detecta como Código de SOC Prime y pueden aplicarse en tecnologías SIEM, EDR y XDR líderes en la industria. 

Acceda instantáneamente a reglas Sigma enriquecidas con contexto para la detección de malware AgentTesla directamente desde el Motor de Búsqueda de Amenazas Cibernéticas de SOC Prime. Haga clic en el botón Explorar Detecciones y profundice en el contenido de detección relevante acompañado de información contextual completa para una investigación exhaustiva de amenazas. ¿Necesita más que reglas de detección? Obtenga de Detecta como Código disponible bajo demanda ofreciendo la máxima flexibilidad con un saldo prepago.

botón Explorar Detecciones Elige un Plan

Contexto MITRE ATT&CK®

Todas las reglas Sigma dedicadas están alineadas con el marco MITRE ATT&CK® abordando las siguientes tácticas y técnicas adversarias que permiten a los profesionales de ciberseguridad obtener instantáneamente información sobre el contexto MITRE ATT&CK detrás de las campañas de correo electrónico en curso del grupo UAC-0120:

Manténgase a la vanguardia de las amenazas emergentes con acceso bajo demanda al contenido de Detection-as-Code más reciente y relevante disponible en la plataforma de SOC Prime. Elija el plan de suscripción On-Demand y ahorre hasta 2,200 horas en investigación de amenazas y desarrollo de contenido de detección mientras maximiza el valor de los recursos de su equipo SOC.