Detección de Malware Cobalt Strike Beacon: Un Nuevo Ciberataque a Organizaciones Gubernamentales Ucranianas Atribuido al Grupo UAC-0056
Tabla de contenidos:
El notorio malware Cobalt Strike Beacon ha sido activamente distribuido por múltiples colectivos de hackers en la primavera de 2022 como parte de la guerra cibernética en curso contra Ucrania, principalmente aprovechado en ataques de phishing dirigidos a cuerpos estatales ucranianos. El 6 de julio de 2022, CERT-UA emitió una alerta advirtiendo sobre una nueva campaña de correos electrónicos maliciosos dirigida a entidades gubernamentales ucranianas. El ciberataque en curso implica la distribución masiva de correos con un asunto de cebo y un archivo XLS adjunto que contiene un macro malicioso que conduce a la propagación de la infección del malware Cobalt Strike Beacon en un sistema comprometido.
Distribución de Cobalt Strike Beacon: CERT-UA Detalla el Último Ataque UAC-0056 Contra Ucrania
Anteriormente, en marzo de 2022, investigadores de CERT-UA observaron la actividad del grupo de hackers UAC-0056 propagando Cobalt Strike Beacon junto con otras cepas de malware en una campaña de phishing contra entidades gubernamentales ucranianas. El último ciberataque reportado por CERT-UA comparte similitudes con el incidente anterior aprovechando el mismo vector de ataque y aplicando los mismos patrones de comportamiento que pueden atribuirse a la actividad del grupo UAC-0056.
La cadena de ataque comienza con un correo electrónico de phishing que contiene cebos relacionados con lo militar y un documento XLS malicioso adjunto. En caso de que el usuario sea engañado para abrir el documento y habilitar un macro incrustado, un archivo malicioso «write.exe» se ejecuta en la instancia infectada. El análisis de CERT-UA muestra que este archivo actúa como un dropper para activar un script de PowerShell. Además, «write.exe» asegura la persistencia al crear una clave «Check License» en el registro de Windows.
Durante la siguiente etapa del ataque, el script de PowerShell elude AMSI, desactiva el registro de eventos para PowerShell y asegura la decodificación y extracción del script de PowerShell de segunda etapa dirigido a la infección de Cobalt Strike Beacon.
Detección de la Actividad UAC-0056: Reglas Sigma para Detectar Nuevos Ataques Contra el Gobierno Ucraniano
Para ayudar a los defensores cibernéticos en la detección proactiva y mitigación de la actividad maliciosa asociada con el último ataque contra entidades gubernamentales ucranianas, la plataforma Detection as Code de SOC Prime ofrece un lote de reglas Sigma seleccionadas. Para una búsqueda simplificada de contenido de detección relevante, todas las reglas Sigma están etiquetadas como #UAC-0056 según la actividad adversaria atribuida al ciberataque más reciente cubierto en la alerta CERT-UA#4914. Para acceder instantáneamente a los algoritmos de detección, siga el enlace a continuación después de registrarse o iniciar sesión en la plataforma de SOC Prime:
Reglas Sigma para detectar la actividad maliciosa del grupo UAC-0056
Para obtener la lista completa de reglas de detección y consultas de caza que permiten a los expertos en ciberseguridad identificar a tiempo la presencia maliciosa de Cobalt Strike Beacon en su entorno, haga clic en el Detect & Hunt botón a continuación. Explore el motor de búsqueda de amenazas cibernéticas de SOC Prime para profundizar instantáneamente en la lista de reglas Sigma para detectar la actividad maliciosa de los actores de amenaza UAC-0056 junto con metadatos contextuales detallados, como referencias MITRE ATT&CK® y CTI, descripciones CVE, y más contexto de amenaza relevante.
Detect & Hunt Explorar Contexto de Amenaza
Contexto MITRE ATT&CK®
Para obtener información sobre el contexto de los ciberataques atribuibles a la actividad del grupo UAC-0056 que apunta a funcionarios del gobierno ucraniano, todas las reglas Sigma referenciadas anteriormente están alineadas con el marco MITRE ATT&CK® abordando las tácticas y técnicas correspondientes:
