Detección de CredPump, HoaxPen y HoaxApe Backdoor: Hackers UAC-0056 Lanzan Ataques Disruptivos Contra Sitios Web del Gobierno Ucraniano Planificados Con Más de Un Año de Antelación

[post-views]
febrero 28, 2023 · 5 min de lectura
Detección de CredPump, HoaxPen y HoaxApe Backdoor: Hackers UAC-0056 Lanzan Ataques Disruptivos Contra Sitios Web del Gobierno Ucraniano Planificados Con Más de Un Año de Antelación

Acercándose la fecha del primer aniversario del estallido de una guerra a gran escala en Ucrania, los defensores cibernéticos abordaron los riesgos de posibles ataques contra Ucrania y sus aliados por parte de las fuerzas ofensivas rusas. El 23 de febrero, los investigadores de ciberseguridad de CERT-UA revelaron la actividad maliciosa atribuida al grupo de hacking UAC-0056, que fue observado en campañas maliciosas contra Ucrania utilizando el vector de ataque de phishing en julio de 2022. En la campaña adversaria descubierta, los actores de la amenaza pretendían alterar la integridad y disponibilidad de sitios web gubernamentales utilizando múltiples puertas traseras, que habían sido instaladas hace más de un año. 

Análisis de Ataques Cibernéticos Disruptivos Contra Ucrania por el Grupo UAC-0056 Vinculado a Rusia 

El 23 de febrero de 2023, CISA emitió una alerta instando a las organizaciones de EE.UU. y Europa a aumentar su vigilancia cibernética en respuesta a los potenciales ataques cibernéticos de los agresores rusos. Los defensores cibernéticos advirtieron a las organizaciones y usuarios individuales sobre los altos riesgos de ataques disruptivos contra múltiples sitios web que marcan el primer aniversario de la invasión a gran escala de Rusia a Ucrania. La alerta se emitió poco después de que los investigadores de CERT-UA detectaran la actividad maliciosa y disruptiva contra los sitios web del gobierno ucraniano y lo cubrieran en la correspondiente alerta CERT-UA#6060

Los investigadores de ciberseguridad de CERT-UA han descubierto un incidente dirigido a organismos gubernamentales ucranianos que pretendía dañar la integridad y disponibilidad de sitios web informativos estatales. Basado en los patrones de comportamiento observados, la actividad del adversario puede ser atribuida al colectivo de hacking UAC-0056 (DEV-0586, unc2589) o Ember Bear. 

El colectivo de hacking estuvo detrás de una serie de ataques de phishing contra organismos estatales ucranianos a mediados del verano de 2022, distribuyendo malware Cobalt Strike Beacon. Ember Bear es un grupo de ciberespionaje sospechoso de respaldo estatal ruso, que ha sido observado en el ámbito de la amenaza cibernética desde marzo de 2021, principalmente atacando a Ucrania y Georgia junto con organizaciones en Europa y EE.UU. en múltiples sectores industriales, incluyendo finanzas y farmacéutica. El grupo UAC-0056 vinculado a Rusia también podría estar detrás del ataque de borrado de datos WhisperGate a finales de 2022. 

El 23 de febrero de 2023, los investigadores revelaron una de las shells web encriptadas en uno de los recursos web comprometidos, que observaban haber sido utilizada por los atacantes la noche anterior. Como resultado de la actividad maliciosa, se creó un nuevo archivo «index.php» en el catálogo web raíz. Este último archivo permitió la modificación del contenido de la página de inicio del recurso web comprometido. Los actores de la amenaza se comunicaron con la shell web usando direcciones IP, incluidas aquellas que pertenecían a los dispositivos vecinos de otras organizaciones hackeadas debido a su abuso de cuenta anterior y la conexión habilitada por VPN a las organizaciones correspondientes.

En esta campaña en curso, los adversarios han utilizado un infame backdoor SSH CredPump (usado como un módulo RAM), que permite a los atacantes obtener acceso remoto SSH y habilitar el registro de credenciales a través de la conexión basada en SSH. Otras variantes de malware descubiertas conocidas como backdoors HoaxPen y HoaxApe fueron desplegadas en febrero de 2022 para la ejecución de código, un año antes de lanzar una campaña maliciosa.

En las etapas más tempranas del ciclo de vida del ataque, los actores de amenaza aplicaron otras muestras de malware, incluidas las utilidades GOST (Go Simple Tunnel) y Ngrok, para desplegar el backdoor HoaxPen. Notablemente, los actores de amenaza habían planeado el acceso remoto no autorizado a los sistemas objetivos con anticipación antes de lanzar una campaña maliciosa.

Detectando la Actividad Maliciosa del Grupo UAC-0056 Cubierta en la Alerta CERT-UA#6060

Con CERT-UA y CISA emitiendo alertas advirtiendo de acciones disruptivas en curso y potenciales afiliadas a Rusia contra Ucrania y sus aliados, las organizaciones y los usuarios individuales deben tomar medidas inmediatas para defenderse proactivamente contra la actividad maliciosa relacionada y mejorar su vigilancia cibernética. La Plataforma Detection as Code de SOC Prime organiza un conjunto de reglas Sigma para detectar la actividad del adversario del notorio grupo UAC-0056, que está detrás de la última campaña cubierta en la alerta CERT-UA#6060. Las detecciones están alineadas con el marco MITRE ATT&CK® v12 y son instantáneamente convertibles a más de 27 soluciones SIEM, EDR y XDR listas para implementar en el ambiente específico de la organización. Para la búsqueda de contenido optimizada, todas las reglas Sigma están filtradas por la etiqueta personalizada correspondiente “CERT-UA#6060” basada en el identificador de alerta CERT-UA.

Haz clic en el botón Explorar Detección para acceder a la lista completa de algoritmos de detección relevantes enriquecidos con contexto de amenazas cibernéticas en profundidad, como referencias ATT&CK y enlaces CTI, mitigaciones y binarios ejecutables vinculados a las reglas Sigma.

Explorar Detecciones

Contexto MITRE ATT&CK

Para explorar el contexto detrás de la última campaña maliciosa UAC-0056 reportada en la alerta CERT-UA#6060, todas las reglas Sigma dedicadas están etiquetadas automáticamente con ATT&CK abordando las tácticas y técnicas correspondientes:

Tactics 

Techniques

Sigma Rule

Command and Control

Dynamic Resolution (T1568)

Protocol Tunneling (T1572)

Exfiltration


Transfer Data to Cloud Account (T1537)

Exfiltration Over Web Service (T1567)

Persistence

Systemd Service (T1569)

Credential Access

Modify Authentication Process (T1556)

Desde el 24 de febrero de 2022, Rusia ha lanzado más de 2,100 ataques cibernéticos contra Ucrania y sus aliados, algunos de los cuales habían sido planificados anteriormente, como en el caso de la última actividad de los hackers UAC-0056. Para ayudar a los equipos a estar siempre un paso adelante de las amenazas afiliadas a Rusia actuales y emergentes, aprovecha la suscripción basada en caridad #Sigma2SaveLives ofreciendo acceso directo a más de 500 reglas Sigma contra grupos APT respaldados por el estado ruso junto con 50 detecciones a tu elección. Obtén la suscripción con el 100% de los ingresos donados para ayudar a la defensa de Ucrania en https://my.socprime.com/pricing/.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.