Grupo de Ciberespionaje Armageddon Rastreado como UAC-0010 Ataca Entidades Gubernamentales de la UE y Ucrania

[post-views]
abril 06, 2022 · 4 min de lectura
Grupo de Ciberespionaje Armageddon Rastreado como UAC-0010 Ataca Entidades Gubernamentales de la UE y Ucrania

Actualización: Según el último aviso del 7 de abril de 2022, el Equipo de Respuesta ante Emergencias Informáticas de Ucrania (CERT-UA) emitió una alerta con los detalles del ataque de phishing más reciente contra organismos estatales ucranianos, justo después de la cadena de ataque identificada hace unos días por patrones de comportamiento similares.

El 4 de abril de 2022, CERT-UA lanzó una alerta advirtiendo de una campaña de spear-phishing en curso dirigida a entidades gubernamentales de Ucrania que implicaba la difusión de un correo electrónico con un archivo adjunto malicioso. Los investigadores de CERT-UA creen que el grupo de hackers rastreado como UAC-0010, también conocido como Armageddon, está detrás de los ataques de spear-phishing contra funcionarios del gobierno ucraniano.

Ese mismo día, otro aviso de CERT-UA fue publicado advirtiendo sobre la actividad recién detectada atribuida a los actores de amenaza mencionados anteriormente. Esta vez, el infame grupo de hackers Armageddon ataca a agencias estatales europeas con víctimas comprometidas igualmente mediante la entrega de correos electrónicos de phishing con archivos adjuntos maliciosos.

Actividad de Ciberespionaje de Armageddon (UAC-0010): Resumen y Análisis

Según el Servicio de Seguridad de Ucrania (SSU), Armageddon ha estado en el centro de atención en el ámbito cibernético desde 2013-2014. El grupo de ciberespionaje fue creado como una parte integral del Servicio de Seguridad Federal de la Federación de Rusia destinado a realizar actividades cibernéticas de inteligencia y subversión dirigidas contra entidades gubernamentales ucranianas para recopilar información sensible. Los actores de amenaza son rastreados como Armageddon APT, también conocido como Gamaredon APT, siendo el último nombre del grupo derivado de un error ortográfico de la palabra “Armageddon”.

Los actores de amenaza de Armageddon han aprovechado TTPs similares para comprometer a un gran número de usuarios, siendo las campañas de phishing uno de sus métodos adversarios más utilizados. Durante el período de su actividad revelada, el envío masivo de correos electrónicos a potenciales víctimas con archivos adjuntos maliciosos que conducen a la difusión de múltiples cepas de malware ha sido el principal vector de ataque del grupo, y los ciberataques más recientes no son una excepción. El grupo Gamaredon aplica herramientas simples escritas en VBScript, VBA Script, C#, C++ y otros lenguajes de programación, confiando principalmente en software de código abierto en los primeros días de su actividad, mientras tienden a enriquecer gradualmente su arsenal con una serie de herramientas personalizadas de ciberespionaje, incluyendo Pterodo/Pteranodon y EvilGnome malware.

As CERT-UA informó que la última actividad de los actores de ciberespionaje dirigidos a organismos estatales letones implicó el envío de correos electrónicos de phishing que contenían archivos de acceso directo maliciosos dentro de archivos RAR. En los ciberataques a las entidades gubernamentales ucranianas, los hackers de Armageddon difundieron señuelos por correo electrónico con asuntos que cubrían datos sobre criminales de guerra vinculados a Rusia. Estos correos electrónicos de phishing contienen un archivo adjunto HTM que, al abrirse, genera un archivo RAR con un archivo LNK malicioso, que posteriormente ejecuta código VBScript e infecta el sistema comprometido.

Contenido Basado en Comportamiento Sigma para Detectar Ciberataques de Armageddon (UAC-0010)

Los profesionales de la seguridad pueden rastrear la actividad más reciente del grupo de hackers Armageddon (UAC-0010) utilizando un conjunto de reglas de detección basadas en Sigma curadas por el Equipo SOC Prime:

https://tdm.socprime.com/expert/?tagsCustom[]=UAC-0010

Todas las reglas de detección mencionadas anteriormente están etiquetadas como #UAC-0010 para agilizar la búsqueda de contenido relacionado con la actividad maliciosa de los actores de amenaza correspondientes. Para acceder al kit de reglas y buscar amenazas, asegúrese de registrarse o iniciar sesión en la plataforma Detection as Code de SOC Prime .

Contexto MITRE ATT&CK®

Para profundizar en el contexto de los ataques cibernéticos más recientes de Armageddon/UAC-0010 dirigidos a funcionarios gubernamentales ucranianos y de la UE, todas las detecciones basadas en Sigma están mapeadas a la última versión del marco MITRE ATT&CK abordando las tácticas y técnicas correspondientes:

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Acceder a la Funcionalidad de Uncoder AI a través de API 2 min de lectura Plataforma SOC Prime Acceder a la Funcionalidad de Uncoder AI a través de API by Steven Edwards Buscar en el Mercado de Detección de Amenazas de Uncoder AI 2 min de lectura Plataforma SOC Prime Buscar en el Mercado de Detección de Amenazas de Uncoder AI by Steven Edwards Traducir de Sigma a 48 idiomas 2 min de lectura Plataforma SOC Prime Traducir de Sigma a 48 idiomas by Steven Edwards
Todas las noticias