Detección de SmokeLoader: El Grupo UAC-0006 Lanza una Nueva Campaña de Phishing contra Ucrania
Tabla de contenidos:
¡Atención! Los defensores cibernéticos son notificados de una nueva ola de ataques de phishing que aprovechan los asuntos de correos electrónicos relacionados con facturas, con la cadena de infección desencadenada al abrir un archivo VBS malicioso, lo que lleva a la propagación del malware SmokeLoader en los dispositivos afectados. Según la investigación, la actividad maliciosa puede atribuirse a la banda de hackers UAC-0006 motivada por ganancias financieras que fue observada en ataques anteriores contra Ucrania también usando las mismas cepas maliciosas y el vector de ataque de phishing.
Análisis de las Operaciones Ofensivas de UAC-0006 Propagando el Malware SmokeLoader
Un poco más de un mes después de los ataques de phishing por los hackers UAC-0006 motivados por ganancias financieras dirigiéndose a Ucrania, los investigadores de CERT-UA revelaron another campaign abusing financial subject lures y también distribuyendo el malware SmokeLoader. Los hackers difunden masivamente correos electrónicos con asuntos relacionados con facturas y archivos adjuntos que contienen un archivo VBS destinado a instalarse y ejecutarse del malware SmokeLoader en los dispositivos afectados.
En esta campaña cubierta en la nueva alerta CERT-UA#6999, el archivo de configuración del malware contiene 45 nombres de dominio, 5 de los cuales usan el registro A y están vinculados al proveedor ruso. Para mantener la persistencia, la iteración de malware utilizada en estos ataques es capaz de definir los registros A actuales para nombres de dominio conectándose al servidor DNS correspondiente. Los adversarios de UAC-0006 aplican las cuentas de correo electrónico comprometidas de manera similar a sus patrones de comportamiento observados en las campañas anteriores contra Ucrania.
Como medidas potenciales de mitigación, los defensores recomiendan restringir el uso de Windows Script Host y PowerShell para minimizar la amenaza.
Detectar la Actividad de UAC-0006 Cubierta en la Alerta CERT-UA#6999
El aumento de las operaciones ofensivas vinculadas a UAC-0006 requiere una respuesta ultra-rápida de los defensores cibernéticos para frustrar oportunamente los ataques relacionados. La Plataforma SOC Prime para la defensa cibernética colectiva ofrece reglas Sigma curadas para ayudar a las organizaciones a defenderse proactivamente contra los ataques del grupo, distribuyendo masivamente SmokeLoader y identificando oportunamente TTPs del adversario relevantes.
Pulsa el botón Explorar Detecciones a continuación para obtener la lista completa de reglas Sigma para la detección de ataques de UAC-0006 mencionadas en la alerta CERT-UA#6999. Para acelerar la búsqueda de contenido SOC, aplica las etiquetas relevantes “UAC-0006” o “CERT-UA#6999”. Todos los algoritmos de detección están mejorados por el contexto de amenazas cibernéticas y pueden ser automáticamente convertidos a docenas de formatos de lenguaje en uso.
Los ingenieros de seguridad también pueden aprovechar Uncoder AI para buscar instantáneamente IOC listados en la alerta CERT-UA#6999 creando consultas IOC personalizadas y ejecutándolas en el entorno seleccionado al instante.
Contexto MITRE ATT&CK
Los defensores cibernéticos también pueden obtener información sobre el contexto detrás de los ataques de phishing por UAC-0006 con más detalle explorando la tabla a continuación, que proporciona la lista de tácticas y técnicas del adversario relevantes según ATT&CK:
