Detección de PicassoLoader y njRAT: Hackers de UAC-0057 Realizan un Ataque Dirigido Contra Entidades Públicas de Ucrania

Investigadores de ciberseguridad emiten una alerta sobre un nuevo ciberataque dirigido por el grupo UAC-0057 contra funcionarios públicos ucranianos aprovechando archivos XLS que contienen una macro maliciosa que propaga PicassoLoader malware. El cargador malicioso es capaz de desplegar otra cepa maliciosa llamada njRAT para propagar aún más la infección.

Distribución de Malware PicassoLoader y njRAT por Hackers UAC-0057: Descripción del Ataque

El 7 de julio de 2023, investigadores de CERT-UA descubrieron un par de documentos XLS, uno de los cuales contenía una macro legítima, mientras que el otro incluía una maliciosa que fue utilizada por piratas informáticos en la etapa inicial del ataque. Este último tenía como objetivo decodificar, descifrar, mantener la persistencia y ejecutar el nefasto malware PicassoLoader en los sistemas objetivo. Los atacantes también utilizaron PicassoLoader para descargar, descifrar y ejecutar la utilidad de acceso remoto njRAT.

El último ataque puede estar vinculado al grupo UAC-0057 también identificado como GhostWriter, que ha estado detrás de la campaña adversaria de junio contra una de las universidades ucranianas propagando PicassoLoader y Cobalt Strike Beacon. En la operación ofensiva en curso cubierta en la alerta correspondiente CERT-UA#6948, los atacantes del UAC-0057 también apuntan a las autoridades públicas ucranianas.

La investigación ha descubierto que el malware PicassoLoader no será desplegado por los piratas si el sistema tiene protección de seguridad por productos de Avast, FireEye y Fortinet.

Detectar Ataques de UAC-0057 Aprovechando PicassoLoader y njRAT

Para equipar a los equipos de seguridad con algoritmos de detección relevantes para detectar proactivamente los últimos ciberataques UAC-0057 contra Ucrania, la Plataforma SOC Prime para la defensa cibernética colectiva agrega un conjunto de reglas Sigma. Los usuarios pueden obtener este conjunto de detección de amenazas presionando el botón Explorar Detecciones a continuación o aplicando las etiquetas personalizadas relevantes “CERT-UA#6948” y “UAC-0057” asociadas con la alerta de seguridad y los identificadores del actor de amenazas.

Todas las reglas están alineadas con el marco de trabajo MITRE ATT&CK® v12, acompañadas de amplia inteligencia sobre amenazas, y son compatibles con más de 28 tecnologías SIEM, EDR y XDR para satisfacer las necesidades específicas de ciberseguridad de las organizaciones.

Explorar Detecciones

Para búsquedas optimizadas, los equipos pueden buscar IOCs vinculados al colectivo UAC-0057 con la ayuda de Uncoder AI. Simplemente copie y pegue los IOCs enumerados por CERT-UA en la última alerta en Uncoder AI y elija el tipo de contenido de destino para construir sin problemas una consulta de IOC personalizada que se adapte a su pila tecnológica y necesidades de seguridad actuales.

Contexto MITRE ATT&CK

Para revisar un contexto más amplio vinculado con la operación más reciente de UAC-0057 cubierta en la alerta CERT-UA#6948, todas las reglas Sigma relacionadas están alineadas con ATT&CK v12 abordando los TTPs adversarios relevantes: