Detectar el Malware SmokeLoader: UAC-0006 Ataca Nuevamente con una Serie de Ataques de Phishing Dirigidos a Ucrania
Tabla de contenidos:
Siguiendo de cerca los masivos ataques de phishing lanzados por UAC-0006 a principios de mayo de 2023, CERT-UA advierte a los defensores cibernéticos de una nueva ola de ciberataques que resultan en infecciones de SmokeLoader. La última investigación indica que los adversarios propagan cada vez más correos electrónicos de phishing con señuelos de temas financieros y utilizan archivos adjuntos ZIP/RAR para dejar caer muestras maliciosas en las instancias objetivo.
Análisis de los ataques de phishing de UAC-0006 dirigidos a la distribución de SmokeLoader
El 29 de mayo de 2023, los expertos de CERT-UA publicaron una nueva alerta CERT-UA#6757 que detalla la campaña de phishing en curso lanzada por el colectivo de hackers UAC-0006. Aprovechando los adjuntos maliciosos con un descargador de JavaScript dedicado, los adversarios entregan SmokeLoader a los sistemas objetivo. EspecĂficamente, los hackers utilizan archivos ZIP o RAR que contienen archivos HTML o VHDX maliciosos. En caso de extracciĂłn, el archivo desencadena un cĂłdigo JavaScript, que a su vez descarga y lanza el archivo ejecutable que luego deja caer SmokeLoader para propagar más la infecciĂłn.
El equipo de CERT-UA identifica una serie de importantes actualizaciones en la cadena de ataque de UAC-0006 en comparaciĂłn con la campaña de phishing similar lanzada a principios de mayo de 2023. EspecĂficamente, los expertos observan que los atacantes tienden a usar mĂşltiples cadenas de infecciĂłn. Además, la muestra de SmokeLoader utilizada en la Ăşltima campaña contiene 26 enlaces URL a un servidor que controla un botnet. Adicionalmente, CERT-UA identificĂł un Cobalt Strike Beacon malicioso aplicado durante las intrusiones, lo que indica que UAC-0006 pretende expandir su conjunto de herramientas.
DetecciĂłn de la Ăşltima actividad adversaria de UAC-0006
Solo un par de semanas después de los masivos ataques de phishing que propagaron SmokeLoader, los actores de amenaza UAC-0006 responsables de incursiones anteriores resurgieron para atacar nuevamente. Debido a los cambios en las TTP del adversario y el uso de múltiples cadenas de infección en la última operación ofensiva, las organizaciones pueden estar potencialmente expuestas a riesgos más serios, lo que requiere atención urgente de los defensores cibernéticos. SOC Prime ha lanzado recientemente un conjunto de reglas Sigma relevantes para detectar oportunamente la actividad maliciosa del grupo UAC-0006 cubierto en la última alerta CERT-UA#6757. Todo el contenido de detección está filtrado por las etiquetas personalizadas “CERT-UA#6757” o “UAC-0006” de acuerdo con la alerta correspondiente y los ID del grupo, lo que permite a los investigadores agilizar la búsqueda de contenido y las actividades de caza de amenazas.
Presiona el botĂłn Explorar Detecciones para acceder instantáneamente a toda la colecciĂłn de reglas Sigma para la detecciĂłn de ataques de UAC-0006 mapeadas a MITRE ATT&CK® y convertibles automáticamente a soluciones SIEM, EDR y XDR lĂderes en la industria. Para explorar metadatos relevantes, enlaces ATT&CK y referencias CTI junto con otro contexto de amenazas cibernĂ©ticas tambiĂ©n están disponibles.
Los miembros del equipo SOC tambiĂ©n son bienvenidos a buscar IOCs vinculados con la actividad maliciosa de UAC-0006 aprovechando Uncoder AI, un marco de inteligencia aumentada que sirve como una herramienta definitiva para cazadores de amenazas e ingenieros de detecciĂłn y permite convertir IOCs en consultas de IOCs personalizadas sin lĂmites. Simplemente inserta los IOCs de archivo, host o red proporcionados en la alerta CERT-UA#6757 en la herramienta, selecciona la plataforma de tu elecciĂłn, aplica la configuraciĂłn de consulta personalizada a tus necesidades de seguridad y prepárate para buscar amenazas relevantes instantáneamente en tu entorno SIEM o EDR.
Contexto MITRE ATT&CK
Para profundizar en las TTP aprovechadas durante el ataque más reciente por el grupo de hackers UAC-0006 que propagaron SmokeLoader, todas las reglas Sigma mencionadas anteriormente están mapeadas a ATT&CK y abordan las tácticas y técnicas correspondientes:
