Actores de Amenazas Armageddon también conocidos como UAC-0010 Difunden Malware GammaLoad.PS1_v2 en Otro Ataque de Phishing contra Ucrania
Tabla de contenidos:
En la primavera de 2022, el notorio grupo de espionaje cibernético auspiciado por el estado ruso Armageddon, también rastreado como UAC-0010, lanzó una serie de ciberataques de phishing dirigidos contra organismos estatales ucranianos y europeos. El 26 de julio de 2022, CERT-UA emitió una serie de nuevas alertas de ciberseguridad advirtiendo a la comunidad global de defensores cibernéticos sobre una ola de nuevas campañas de phishing por parte de estos actores de amenaza vinculados a Rusia, dirigidas a Ucrania y distribuyendo masivamente el malware GammaLoad.PS1_v2.
Análisis del Último Ciberataque de Armageddon APT (UAC-0010): Distribución Masiva del Malware GammaLoad.PS1_v2
Desde 2014 y con la escalada de la agresión rusa contra Ucrania el 24 de febrero de 2022, Rusia ha estado evolucionando su guerra híbrida y avanzando en campañas de espionaje cibernético. Según el informe técnico del Servicio de Seguridad de Ucrania (SSU), el colectivo de hackers Armageddon, también conocido como Gamaredon basado en el error ortográfico del nombre original del grupo, ha sido creado como una unidad especial para realizar actividades de inteligencia y espionaje cibernético contra los organismos estatales ucranianos.
Tras una serie de ciberataques en la primavera de 2022 lanzados por el grupo Armageddon APT, los actores de amenaza resurgen una vez más aprovechando el vector de ataque de correos electrónicos de phishing. Anteriormente, en abril de 2022, el grupo también identificado como UAC-0010 lanzó una serie de ciberataques dirigidos a organismos estatales ucranianos y europeos distribuyendo correos electrónicos de phishing con adjuntos maliciosos. Un mes después, el grupo Armageddon reapareció en el escenario de amenazas cibernéticas aprovechando su vector de ataque de phishing más preferido para desplegar el software malicioso GammaLoad.PS1_v2 en los sistemas comprometidos.
Según las últimas alertas de CERT-UA, el colectivo de hackers UAC-0010 distribuye masivamente correos electrónicos de phishing dirigidos que aprovechan señuelos relacionados con la guerra como asuntos de correo electrónico y disfrazados como remitentes de la Academia Nacional del Servicio de Seguridad de Ucrania. Estos correos electrónicos falsificados contienen un descargador HTM que desencadena una cadena de infección. Una vez abierto, este último crea un archivo RAR malicioso con un archivo de acceso directo LNK utilizado como señuelo para engañar a las víctimas para que lo abran. Si se abre, el archivo LNK mencionado anteriormente descarga y ejecuta un archivo HTA que contiene código VBScript, el cual aplica PowerShell para descifrar y lanzar el malware GammaLoad.PS1_v2 en las computadoras objetivo. Para evadir la detección, los atacantes aplican servicios externos para prevenir la resolución DNS de los servidores C2.
Debido a un aumento dramático en los ciberataques de phishing que aprovechan las técnicas del adversario mencionadas anteriormente, se recomienda encarecidamente que las organizaciones globales implementen programas integrales de gestión de superficie de ataque como parte de sus estrategias de ciberseguridad. El uso de servicios externos de correo electrónico en los dispositivos de la organización impide que los contenidos de los correos electrónicos sean revisados adecuadamente por la seguridad, lo cual puede potencialmente conducir a ataques de phishing.
Detección de la Actividad UAC-0010: Reglas Sigma para Defenderse de Ciberataques de Phishing Emergentes
Con un número constantemente creciente de ciberataques de phishing que tienen como objetivo a miles de organizaciones en todo el mundo, los defensores cibernéticos se dan cuenta de que defenderse proactivamente de la actividad maliciosa relacionada es una prioridad máxima para mejorar la postura de ciberseguridad de la organización. La plataforma Detection as Code de SOC Prime cura alertas de alta fidelidad y consultas de caza de amenazas verificadas para permitir a las organizaciones identificar oportunamente la actividad maliciosa de los actores de amenaza Armageddon (UAC-0010) cubierta en las últimas alertas de CERT-UA.
Para una búsqueda de contenido simplificada, todas las detecciones están etiquetadas como #UAC-0010 basado en el identificador asociado con la actividad del adversario. Los usuarios registrados de SOC Prime pueden aprovechar las reglas Sigma dedicadas siguiendo el enlace a continuación:
Los profesionales de ciberseguridad también son bienvenidos a acceder a más reglas Sigma para detectar ciberataques por parte del grupo Armageddon también conocido como Gamaredon haciendo clic en el botón Detectar y Cazar a continuación. Alternativamente, los profesionales de InfoSec pueden explorar el motor de búsqueda de amenazas cibernéticas de SOC Prime para la actividad adversaria UAC-0010 e instantáneamente explorar un contexto de amenazas integral como MITRE ATT&CK® y referencias CTI, enlaces de medios, binarios ejecutables vinculados a reglas Sigma y más metadatos contextuales junto con detecciones relacionadas incluso sin registro.
Detectar & Cazar Explorar Contexto de Amenaza
Contexto de MITRE ATT&CK®
Para obtener información sobre el contexto de MITRE ATT&CK de los últimos ciberataques del grupo Armageddon APT también conocido como UAC-0010, todas las reglas Sigma dedicadas están alineadas con el marco de trabajo MITRE ATT&CK® abordando las tácticas y técnicas correspondientes:
