Detección de CredoMap y Cobalt Strike Beacon: El Grupo APT28 y los Actores de Amenazas UAC-0098 Vuelven a Atacar a las Organizaciones Ucranianas
Tabla de contenidos:
El 20 de junio de 2022, CERT-UA emitió dos alertas separadas que advierten a la comunidad global de ciberseguridad sobre una nueva oleada de ciberataques a organizaciones ucranianas utilizando la nefasta vulnerabilidad de día cero explotada activamente en la naturaleza y rastreada como CVE-2022-30190 aka Follina. En la alerta CERT-UA#4842 , los investigadores de seguridad cibernética desvelaron la actividad maliciosa por un grupo de hackers identificado como UAC-0098 difundiendo malware Cobalt Strike Beacon . Otra alerta CERT-UA#4843 destaca la distribución del malware CredoMap atribuida a la actividad maliciosa del notorio colectivo de hackers respaldado por el estado ruso APT28 también conocido como UAC-0028.
Detectar la actividad maliciosa de APT28 y UAC-0098 observada en ciberataques en Ucrania
Para ayudar a los profesionales de ciberseguridad a defenderse proactivamente contra la actividad maliciosa cubierta en las alertas CERT-UA#4842 y CERT-UA#4843, la plataforma de Detection as Code de SOC Prime ofrece un lote de reglas Sigmadedicadas. Para una búsqueda de contenido optimizada, todos los algoritmos de detección están etiquetados en función de la actividad del adversario asociada con los ataques relevantes, como #UAC-0098, o en función de la identificación de la alerta CERT-UA correspondiente, como CERT-UA#4843. Se invita a los usuarios de SOC Prime a iniciar sesión en la plataforma con su cuenta actual o crear y activar una nueva para acceder a los kits de reglas dedicados:
Reglas Sigma para detectar la actividad maliciosa del grupo UAC-0098, incluidos los ataques recientes cubiertos en la alerta CERT-UA#4842
Reglas Sigma para detectar la actividad maliciosa cubierta en la alerta CERT-UA#4843
Todos los elementos de contenido referenciados de SOC anteriormente filtrados por las etiquetas correspondientes están alineados con el marco MITRE ATT&CK® y son compatibles con las soluciones líderes de la industria SIEM, EDR y XDR, permitiendo a los equipos adaptar las capacidades de detección y búsqueda a sus perfiles de amenazas únicos y necesidades ambientales.
Además, a continuación se encuentra una lista extensa de reglas basadas en Sigma para detectar la actividad maliciosa del colectivo de hackers APT28 también identificado como UAC-0028, que se ha observado en la última campaña difundiendo el malware CredoMap además de una serie de ataques de phishing anteriores en Ucrania:
Reglas Sigma para detectar la actividad maliciosa de APT28/UAC-0028
Para acceder a la lista completa de reglas Sigma para la detección de explotación de la vulnerabilidad CVE-2022-30190, los usuarios registrados de SOC Prime pueden hacer clic en el botón Detect & Hunt y acceder instantáneamente al conjunto de detección dedicado. Los profesionales de ciberseguridad también pueden navegar en SOC Prime incluso sin registrarse para explorar inmediatamente las últimas tendencias en el ámbito de las amenazas cibernéticas, acceder a las nuevas reglas Sigma lanzadas y obtener información sobre la información contextual relevante.
Detect & Hunt Explorar contexto de amenazas
Distribución de malware CredoMap y Cobalt Strike Beacon: resumen de los últimos ataques en Ucrania
En junio de 2022, los investigadores de ciberseguridad han observado ataques en lahnatura dirigidos a entidades gubernamentales ucranianas explotando la vulnerabilidad de día cero de Windows CVE-2022-30190 y difundiendo el malware Cobalt Strike Beacon. En las últimas campañas maliciosas dirigidas a organizaciones ucranianas, los actores de amenazas APT28 y UAC-0098 continúan aprovechando la explotación CVE-2022-30190 intentando entregar muestras de malware Cobalt Strike Beacon y CredoMap aplicando un vector de ataque similar con el uso de un archivo adjunto señuelo.
Ambas cepas de malware utilizadas en los últimos ataques cubiertos por las alertas CERT-UA mencionadas anteriormente ya han estado en el punto de mira de los investigadores de ciberseguridad durante la guerra cibernética global en curso representando el vector de ataque de phishing. A principios de este año, en abril de 2022, se descubrió que el colectivo de hackers UAC-0098 también conocido como TrickBot estaba difundiendo Cobalt Strike Beacon en una campaña de phishing dirigida a funcionarios ucranianos y aprovechando correos electrónicos relacionados con Azovstal. En cuanto a las campañas de phishing anteriores del grupo APT-28 vinculado a Rusia, también conocido como UAC-0028, en marzo de 2022, se le observó detrás de un ciberataque contra organismos estatales ucranianos aprovechando también la versión actualizada del malware CredoMap denominada CredoMap_v2.
En las últimas campañas resaltadas por las alerta CERT-UA#4842 and CERT-UA#4843 alertas, los adversarios han utilizado un documento señuelo que desencadena una cadena de infección y conduce a la descarga de un archivo HTML, seguido de la ejecución de código JavaScript malicioso, que además propaga malware en los sistemas comprometidos. En el ciberataque atribuido al grupo UAC-0098, el archivo señuelo DOCX fue entregado mediante suplantación de correo electrónico disfrazando a un remitente de correo electrónico falso como el Servicio de Impuestos del Estado de Ucrania.
Con un número cada vez mayor de volúmenes de ataque que configuran el paisaje moderno de amenazas cibernéticas, los profesionales de ciberseguridad están constantemente en busca de capacidades de defensa cibernética mejoradas y nuevas formas para una investigación de amenazas optimizada. La plataforma de Detection as Code de SOC Prime aprovecha el poder de la defensa cibernética colaborativa para permitir que las organizaciones globales mejoren la detección de amenazas y aceleren la velocidad de caza de amenazas de manera más eficiente que nunca. Además, los profesionales individuales de ciberseguridad que están interesados en crear sus propias reglas de detección tienen una gran oportunidad de unirse al Programa de Recompensa por Amenazas y ver en acción cómo su contribución de contenido ayuda a construir un futuro más seguro.
