Detección de Malware MAGICSPELL: Hackers UAC-0168 Lanzan un Ataque Dirigido Usando el Tema de la Membresía de Ucrania en la OTAN como Señuelo de Phishing
Tabla de contenidos:
Investigadores de CERT-UA descubrieron recientemente una copia fraudulenta de la versión en inglés del sitio web del Congreso Mundial Ucraniano en https://www.ukrainianworldcongress.org/. El recurso web falso contiene un par de documentos DOCX que inician una cadena de infección una vez abiertos. Como resultado de la cadena de ataque, los hackers pueden desplegar el payload MAGICSPELL destinado a descargar, descifrar y mantener la persistencia y el lanzamiento de otro cargador para propagar la infección aún más. La actividad maliciosa identificada se rastrea como UAC-0168.
Análisis del Ataque Dirigido UAC-0168 Cubierto en la Alerta CERT-UA#6940
El 5 de julio de 2023, los investigadores de CERT-UA emitieron la última alerta CERT-UA#6940 cubriendo la actividad adversaria dirigida atribuida al grupo de hackers UAC-0168. En esta campaña maliciosa, los actores de amenaza aprovechan la copia fraudulenta de una versión legítima del sitio web del Congreso Mundial Ucraniano para atraer a las víctimas a abrir los archivos DOCX maliciosos y encender la infección. El recurso web falso incluye dos documentos DOCX con títulos relacionados con la próxima Cumbre de la OTAN y la membresía de Ucrania en la OTAN, ambos contienen un documento RTF con direcciones URL maliciosas y una ruta UNC.
Los actores de amenaza establecen comunicación a través de los protocolos HTTP y SMB. Abrir los archivos DOCX mencionados y la explotación exitosa de las vulnerabilidades relevantes lleva a la descarga y ejecución de un conjunto de archivos maliciosos, incluyendo un archivo .chm con archivos HTM y de archivo web junto con un archivo URL y VBS que propagan la infección aún más. Este último permite a los hackers lanzar otros archivos ubicados en el recurso SMB en una variedad de formatos, incluyendo EXE y DLL.
A lo largo de la investigación, los investigadores de ciberseguridad revelaron un archivo “calc.exe” identificado como un cargador MAGICSPELL, capaz de desplegar otros archivos ejecutables maliciosos en los sistemas comprometidos y mantener su persistencia.
El análisis del recurso SMB aprovechado por los atacantes ha revelado 195 direcciones IP distribuidas en 30 países, la mayoría de las cuales pertenecen a servidores VPN y organizaciones de investigación.
Según CERT-UA, usar el nombre del Congreso Mundial Ucraniano junto con el tema de la membresía de Ucrania en la OTAN como señuelos de phishing vincula el último ataque de UAC-0168 a la próxima cumbre de la OTAN que tendrá lugar del 11 al 12 de julio en Vilnius, Lituania.
Detección de los Últimos Ataques UAC-0168 Contra Ucrania
Para agilizar la investigación de amenazas y ayudar a los profesionales de seguridad a detectar las operaciones ofensivas más recientes relacionadas con el ataque dirigido por UAC-0168, la Plataforma SOC Prime ofrece un conjunto de reglas Sigma seleccionadas. Los usuarios pueden buscar los algoritmos de detección relevantes filtrando reglas con las etiquetas personalizadas correspondientes “CERT-UA#6940” y “UAC-0168” basadas en la alerta CERT-UA y los identificadores de grupo.
Presione el botón Explorar Detecciones a continuación para profundizar de inmediato en la extensa lista de reglas Sigma dedicadas a la detección del ataque UAC-0168. Todas las reglas están mapeadas al marco MITRE ATT&CK® v12, proporcionan metadatos accionables y contexto relevante de ciberta amenazas, y son compatibles con más de 28 soluciones SIEM, EDR y XDR para adaptarse a las necesidades específicas de seguridad de la organización.
Además, los equipos de seguridad pueden mejorar su velocidad de caza de amenazas buscando indicadores de compromiso vinculados al colectivo UAC-0168 con la ayuda de Uncoder AI. Simplemente pegue el archivo, host o red IOCs enumerados por CERT-UA en la última alerta en la herramienta y seleccione el tipo de contenido de la consulta objetivo para crear instantáneamente una consulta de IOC optimizada para el rendimiento que coincida con su entorno y necesidades de seguridad actuales.
Contexto MITRE ATT&CK
Para revisar un contexto más amplio detrás del último ataque UAC-0168 cubierto en la alerta CERT-UA#6940, todas las reglas Sigma relacionadas están etiquetadas con ATT&CK v12 abordando las tácticas y técnicas correspondientes del adversario:
