Detección de Malware Metasploit Meterpreter: Nuevo Ciberataque de Phishing a Entidades Gubernamentales Ucranianas Vinculado a los Grupos UAC-0098 y TrickBot
Tabla de contenidos:
El 28 de abril de 2022, CERT-UA publicó una advertencia notificando sobre el último ciberataque de phishing contra entidades gubernamentales ucranianas utilizando el marco Metasploit. La actividad maliciosa puede atribuirse a los patrones de comportamiento del adversario de un grupo rastreado como UAC-0098. Además, se cree que este ataque más reciente se remonta a la actividad del colectivo de hackers TrickBot, una infame banda de ransomware vinculada a Rusia conocida por operar sofisticados botnets y que colabora con actores de amenazas avanzadas, como FIN6 and y Ryuk,en campañas maliciosas dirigidas para la distribución de malware.
Qué es Metasploit Meterpreter Payload: Análisis de Ciberataque
Metasploit es un marco de código abierto para crear un entorno de pruebas de penetración para desarrollar, probar y ejecutar exploits. Es una herramienta ampliamente adoptada y poderosa utilizada tanto por actores maliciosos como por hackers de sombrero blanco para investigar vulnerabilidades en redes y servidores de interés. El marco Metasploit ofrece una variedad de herramientas y características para pruebas de penetración, incluyendo el conocido Meterpreter.
El malware Meterpreter entregado en el último ciberataque a organismos del estado ucraniano es una carga útil sofisticada que utiliza comunicaciones cifradas, se inyecta en el proceso comprometido y puede migrar fácilmente a través de redes, facilitando la entrega de la infección y dejando insuficiente evidencia forense.
El 28 de abril de 2022, CERT-UA lanzó una alerta informando sobre una campaña de phishing que utiliza un gancho temático de guerra y entrega archivos ISO maliciosos. En particular, los actores de la amenaza diseminaron archivos falsos de un Decreto del Presidente de Ucrania que contenían un archivo señuelo DOCX, un archivo de acceso directo LNK, un script de PowerShell y un archivo ejecutable. Una vez lanzado, el archivo LNK desencadena la cadena de infección al ejecutar un script de PowerShell, que a su vez, abre un archivo DOCX y luego ejecuta un archivo EXE. Como resultado, la computadora de la víctima queda infectada por el malware Meterpreter.
La investigación de CERT-UA atribuye la campaña a los grupos UAC-0098 y TrickBot respaldados por Rusia según las similitudes observadas en los patrones de comportamiento malicioso.
Reglas de Sigma para detectar la campaña de UAC-0098 y TrickBot
Para proteger la infraestructura de la organización contra ciberataques de phishing por parte de los hackers de UAC-0098, incluyendo la última campaña que utiliza Metasploit Meterpreter, el equipo de SOC Prime ha proporcionado un conjunto de reglas Sigma dedicadas:
Reglas Sigma para detectar la actividad maliciosa del grupo UAC-0098
Regístrate en la plataforma Detection as Code de SOC Prime para acceder a todo el contenido a través de un enlace anterior o realizar una búsqueda personalizada utilizando la etiqueta #UAC-0098 correspondiente.
Los profesionales de seguridad también pueden buscar amenazas relacionadas con la actividad maliciosa de UAC-0098 utilizando el contenido de detección mencionado anteriormente a través del módulo Quick Hunt.
Contexto MITRE ATT&CK®
Para profundizar en el contexto del último ataque de phishing de los grupos UAC-0098 y TrickBot que afecta a organismos estatales ucranianos con Metasploit Meterpreter, todas las reglas Sigma relevantes están alineadas con el marco MITRE ATT&CK abordando las tácticas y técnicas correspondientes:
Tactics | Techniques | Sigma Rules |
Initial Access | Phishing (T1566) | |
Defense Evasion | Subvert Trust Controls (T1553) | |
Signed Binary Proxy Execution (T1218) | ||
Masquerading (T1036) | ||
Execution | Command and Scripting Interpreter (T1059) |
