Detección de la Campaña SmokeLoader: UAC-0006 Sigue Apuntando a Instituciones Financieras Ucranianas en una Serie de Ataques de Phishing
Tabla de contenidos:
colectivo de hackers UAC-0006 está en aumento, apuntando activamente a organizaciones ucranianas con malware SmokeLoader en una campaña duradera dirigida a beneficios financieros. El último alerta de ciberseguridad CERT-UA detalla que el grupo de hackers ha lanzado un tercer ciberataque masivo consecutivo, amenazando gravemente los sistemas bancarios en todo el país.
Análisis de la campaña de phishing UAC-0006 dirigida a la distribución de SmokeLoader
A raíz de la operación ofensiva de UAC-0006 a mediados de julio de 2023, los adversarios apuntan persistentemente al sector financiero ucraniano con un tercer ataque consecutivo en los últimos diez días, utilizando un vector de phishing para entregar el malware SmokeLoader.
Un análisis detallado por CERT-UA revela que el último ataque involucra el uso de un archivo ZIP poligloto dedicado, cuyo contenido varía según el programa de extracción. Si se utiliza WinRAR, el ZIP poligloto contendría una extensión .pdf or .docx , llevando a una secuencia de descargador JavaScript, archivo SFX, script BAT y archivos señuelo, atrayendo a las víctimas con señuelos financieros, particularmente relacionados con instrucciones de pago de Privat Bank, uno de los bancos más grandes de Ucrania.
Con más de 1000 dispositivos actualmente esclavizados al botnet, CERT-UA afirma con un alto nivel de confianza que los adversarios están aprovechando datos de autenticación comprometidos de ataques anteriores para ejecutar campañas de correo electrónico de phishing a gran escala.
A medida que las actividades maliciosas de UAC-0006 aumentan, CERT-UA anticipa un notable aumento en el fraude cibernético dirigido a los sistemas bancarios remotos. Para contrarrestar estas amenazas, los defensores recomiendan enfáticamente implementar medidas de mitigación, como restringir el uso de utilidades como wscript.exe, cscript.exe, powershell.exe y mshta.exe, al mismo tiempo que implementan el filtrado del flujo de información saliente.
Detección de la Campaña de SmokeLoader por UAC-0006 detallada en las alertas CERT-UA#7065, CERT-UA#7076
Para ayudar a los defensores cibernéticos a frustrar la actividad maliciosa dirigida a infecciones de SmokeLoader, la Plataforma SOC Prime para la defensa cibernética colectiva proporciona un conjunto de reglas Sigma seleccionadas dirigidas a la detección de ataques UAC-0006.
Presione el Explorar Detecciones botón a continuación para obtener un lote extenso de reglas Sigma dedicadas que permitan a los profesionales de seguridad identificar a tiempo las TTP relevantes aprovechadas por el colectivo UAC-0006. Para optimizar la búsqueda de contenido SOC, aplique las etiquetas correspondientes “UAC-0006”, “CERT-UA#7065”, “CERT-UA#7066” o “SmokeLoader” para seleccionar algoritmos de detección mejorados con el contexto de amenazas cibernéticas y automáticamente convertibles a docenas de formatos SIEM, EDR, XDR.
Los ingenieros de seguridad también pueden confiar en Uncoder AI para buscar sin problemas IOC listados en los recomendados CERT-UA#6613, CERT-UA#6757, CERT-UA#6999 alertas creando consultas personalizadas de IOC y ejecutándolas en el entorno seleccionado sobre la marcha.
Contexto MITRE ATT&CK
Los defensores cibernéticos también pueden obtener información sobre el contexto detrás de los últimos ataques de phishing por UAC-0006 en más detalle explorando la tabla a continuación, que proporciona la lista de tácticas y técnicas adversarias relevantes según ATT&CK:
