Propagación de Malware Cobalt Strike Beacon Mediante Correos Electrónicos de Phishing Dirigidos Relacionados con Azovstal: Ciberataque a Entidades Gubernamentales de Ucrania
Tabla de contenidos:
El 18 de abril de 2022, CERT-UA emitió una alerta advirtiendo sobre ataques cibernéticos en curso dirigidos a organismos estatales ucranianos. Según la investigación, funcionarios del gobierno fueron expuestos a ataques de phishing dirigidos mediante correos electrónicos relacionados con Azovstal que contenían archivos adjuntos maliciosos que difundían Cobalt Strike Beacon malware. La actividad detectada refleja los patrones de comportamiento asociados con el colectivo de hackers rastreado como UAC-0098, también conocido como TrickBot.
Ataques de Phishing utilizando el Malware Cobalt Strike: Resumen y Análisis
Hace más de un mes, entidades gubernamentales ucranianas enfrentaron ataques de phishing difundiendo señuelos por correo electrónico con archivos maliciosos que se descargaban secuencialmente unos a otros para infectar el sistema objetivo con un conjunto de cepas de malware, incluyendo el Cobalt Strike Beacon, la carga útil de malware por defecto utilizada para crear una conexión con el servidor del equipo y diseñada para modelar atacantes avanzados.
Se sabe que Cobalt Strike Beacon ha sido utilizado anteriormente en campañas de distribución de malware, incluyendo los ataques cibernéticos que explotaron la vulnerabilidad CVE-2018-20250 in the WinRAR archivador. En este ataque cibernético, se entregaron archivos comprimidos maliciosos a través de correos electrónicos de spam, lo que activó la cadena de infección para ejecutar scripts dañinos y otras cargas útiles.
En el ataque cibernético más reciente por parte de los actores de amenaza UAC-0098, la carga útil maliciosa se ha difundido a través de correos electrónicos de phishing con el tema de señuelo relacionado con Azovstal. Los correos electrónicos dirigidos en cuestión contenían adjuntos XLS y macros maliciosos involucrados en la cadena de infección que llevó a entregar Cobalt Strike Beacon y comprometer la computadora de la víctima. Basado en las técnicas de encriptación aplicadas, la actividad revelada ha sido atribuida a la nefasta banda de malware TrickBot afiliada a Rusia.
Contenido basado en comportamiento de Sigma para detectar ataques cibernéticos por UAC-0098 que difunden malware Cobalt Strike Beacon
Los profesionales de seguridad pueden defenderse proactivamente contra ataques cibernéticos que involucren a Cobalt Strike Beacon difundido por el grupo de hackers UAC-0098 con un conjunto de reglas de detección basadas en Sigma curadas por el equipo de SOC Prime:
Reglas Sigma para detectar la difusión de Cobalt Strike Beacon por UAC-0098
Todo el conjunto de detección está etiquetado como #UAC-0098 para una búsqueda de contenido relacionado con amenazas simplificada. Antes de acceder a las reglas, regístrese en la plataforma SOC Prime’s Detection as Code o inicie sesión con su cuenta existente.
Los equipos también pueden buscar amenazas asociadas con la actividad del grupo de hackers UAC-0098 utilizando el contenido de caza mencionado anteriormente con el módulo SOC Prime’s Quick Hunt .
Contexto de MITRE ATT&CK®
Los profesionales de seguridad pueden profundizar en el contexto detrás del último ataque de phishing relacionado con Azovstal a organismos estatales ucranianos basado en el marco MITRE ATT&CK. Todo el contenido basado en Sigma dedicado está alineado con la última versión del marco MITRE ATT&CK v.10, abordando las tácticas y técnicas correspondientes:
