Los actores de amenaza UAC-0056 entregan el malware Cobalt Strike Beacon en otra campaña de phishing contra Ucrania

Justo después de la ciberataque del 5 de julio dirigido a organismos estatales ucranianos y atribuido al notorio colectivo de hackers UAC-0056, otra campaña maliciosa lanzada por este grupo causa revuelo en el dominio cibernético. El 11 de julio de 2022, los investigadores de ciberseguridad de CERT-UA advirtieron a la comunidad global sobre un ataque de phishing en curso que aprovecha un asunto de señuelo y un archivo adjunto malicioso relacionado con el tema de la guerra en Ucrania. En el último ciberataque, los actores de la amenaza una vez más utilizan el vector de ataque de correo electrónico de phishing para distribuir malware Cobalt Strike Beacon. Esta vez, los correos electrónicos maliciosos se difunden desde las cuentas de correo electrónico comprometidas de las entidades gubernamentales ucranianas.  

Detección de Ataque del Grupo UAC-0056: Reglas Sigma para Identificar a Tiempo la Actividad Maliciosa

Para ayudar a los profesionales de ciberseguridad a identificar oportunamente la actividad maliciosa del grupo de hackers UAC-0056 relacionada con las últimas campañas de correo electrónico dirigidas a Ucrania, la plataforma de SOC Prime ofrece un conjunto de algoritmos de detección seleccionados disponibles a través del siguiente enlace: 

Reglas Sigma para detectar la actividad maliciosa de los actores de amenaza UAC-0056

Tenga en cuenta que solo los usuarios registrados de SOC Prime pueden acceder a las reglas Sigma referenciadas anteriormente junto con sus traducciones a múltiples formatos SIEM, EDR y XDR.  

Para facilitar y acelerar la búsqueda de contenido de detección relevante, todas las reglas basadas en Sigma están etiquetadas en consecuencia como #UAC-0056 basadas en la actividad del adversario asociada. Además, el contenido de detección está alineado con el marco MITRE ATT&CK® abordando las tácticas y técnicas del adversario correspondiente para garantizar una visibilidad integral en el contexto de los ciberataques relacionados. Consulte nuestro artículo anterior del blog sobre la campaña de correo electrónico de UAC-0056 dirigida a funcionarios ucranianos para profundizar en el contexto de la amenaza basado en ATT&CK. 

Los profesionales de ciberseguridad registrados en la plataforma de SOC Prime también pueden explorar la lista completa de reglas Sigma para detectar el malware Cobalt Strike Beacon haciendo clic en el botón de Detección y Búsqueda a continuación. Además, SOC Prime ofrece la primera herramienta de motor de búsqueda de la industria que permite a los equipos de seguridad buscar un CVE, malware, APT o exploit determinado y obtener instantáneamente la lista de reglas Sigma relacionadas junto con un contexto de amenaza informativo, como referencias de MITRE ATT&CK, enlaces CTI, binarios ejecutables de Windows vinculados a las detecciones y más metadata accionable. Haga clic en el Explorar Contexto de Amenaza botón para encontrar todos los resultados de búsqueda relevantes para Cobalt Strike Beacon incluso sin el proceso de registro.

Detección y Búsqueda Explorar Contexto de Amenaza

Entrega de Malware Cobalt Strike Beacon: Resumen de Otro Ataque de UAC-0056 Contra Funcionarios Ucranianos

La alerta más reciente CERT-UA#4941 advierte sobre la distribución masiva de correos electrónicos maliciosos con un asunto relacionado con la crisis humanitaria en Ucrania inducida por la guerra a gran escala en curso que estalló el 24 de febrero. Los correos electrónicos en cuestión tienen un documento XLS como adjunto con un nombre de archivo señuelo similar que engaña a las posibles víctimas para que lo abran. Este último contiene una macro maliciosa que, si se abre, lanza un archivo ejecutable “baseupd.exe”, que a su vez, puede llevar a la caída de Cobalt Strike Beacon en los sistemas objetivo. 

Notablemente, el último ciberataque comparte una serie de similitudes con la campaña maliciosa anterior dirigida a organismos estatales ucranianos, incluyendo la cepa de malware elegida para propagar la infección y los ciberdelincuentes que están detrás de esta campaña de correo electrónico. Basado en las TTP del adversario, el ciberataque también se atribuye al grupo de hackers UAC-0056, también conocido como SaintBear.

La actividad maliciosa de los actores de amenaza UAC-0056 dirigida a Ucrania tiene una historia que se remonta a la campaña de phishing de marzo de 2022 que propagó muestras de malware Cobalt Strike Beacon, GrimPlant y GraphSteel. Además, estos actores de amenaza también están vinculados al destructivo ciberataque a Ucrania que aprovechó el malware WhisperGate de borrado de datos. 

Se recomienda encarecidamente aplicar la autenticación multifactor como una capa adicional de seguridad de correo electrónico que permita a las organizaciones garantizar una mejor protección contra ciberataques que aprovechen el vector de ataque por correo electrónico.

Regístrate en la plataforma Detection as Code de SOC Prime para encontrar una solución todo en uno que ayude a tu equipo a abordar sin problemas la complejidad de las amenazas y los desafíos de calidad de datos respaldados por el poder de la defensa cibernética colaborativa. ¿Buscando nuevas formas de incrementar tus habilidades de Caza de Amenazas e Ingeniería de Detección? Únete al Programa de Recompensas de Amenazas para convertir tu conjunto de habilidades en beneficios financieros recurrentes con oportunidades prolíficas para el reconocimiento entre pares de la industria y el auto-avanzo. Crea reglas Sigma y YARA, compártelas con la comunidad y monetiza tus esfuerzos de detección con la iniciativa de colaboración masiva de SOC Prime.