Detección de Ataques UAC-0057: Un Aumento en la Actividad de Adversarios Distribuyendo PICASSOLOADER y Cobalt Strike Beacon

[post-views]
julio 25, 2024 · 3 min de lectura
Detección de Ataques UAC-0057: Un Aumento en la Actividad de Adversarios Distribuyendo PICASSOLOADER y Cobalt Strike Beacon

Los defensores han observado un repentino aumento en la actividad adversaria del grupo de hacking UAC-0057 dirigido a agencias de gobierno local ucranianas. Los atacantes distribuyen archivos maliciosos que contienen macros destinadas a lanzar PICASSOLOADER en las computadoras objetivo, lo que lleva a la entrega de Cobalt Strike Beacon

Detectar la Actividad de UAC-0057 Cubierta en la Alerta CERT-UA#10340

Desde el estallido de la guerra a gran escala, el colectivo de hackers UAC-0057 ha atacado repetidamente a organizaciones ucranianas. Para detectar la última campaña de UAC-0057 y analizar la actividad del grupo retrospectivamente, los defensores cibernéticos pueden confiar en la Plataforma de SOC Prime para la defensa cibernética colectiva, que ofrece una suite completa de productos para Ingeniería de Detección impulsada por IA, Caza de Amenazas Automatizada y Validación de Pilas de Detección. 

Siguiendo el enlace a continuación, los profesionales de seguridad pueden acceder a la pila de detección completa que aborda la última actividad de UAC-0057. Alternativamente, los expertos pueden navegar por el Mercado de Detección de Amenazas filtrando las detecciones por la etiqueta «CERT-UA#10340» basada en el ID de alerta. 

Reglas Sigma para la detección de ataques UAC-0057 basadas en la alerta CERT-UA#10340

Todos los algoritmos de detección están mapeados al marco MITRE ATT&CK®, enriquecidos con CTI y metadatos accionables, y están listos para desplegarse en docenas de plataformas de análisis de seguridad nativas de la nube y locales. 

Para obtener la pila de detección más amplia que aborda las tácticas, técnicas y procedimientos de UAC-0057, los ingenieros de seguridad pueden acceder a la colección relevante de reglas Sigma haciendo clic en el Explorar Detecciones botón a continuación.

Explorar Detecciones

The la alerta CERT-UA dedicada también proporciona una colección de IOCs para identificar ataques relacionados con la campaña más reciente de UAC-0057. Al confiar en Uncoder AIde SOC Prime, los defensores pueden simplificar la coincidencia de IOCs convirtiendo instantáneamente la inteligencia de amenazas relevante en consultas personalizadas optimizadas para el rendimiento, adaptadas para el formato de lenguaje del SIEM o EDR elegido y listas para buscar en el entorno seleccionado.

Análisis del Ataque UAC-0057

El grupo UAC-0057, también conocido bajo el nombre de GhostWriter, ha estado lanzando múltiples operaciones ofensivas dirigidas principalmente a los organismos estatales ucranianos a lo largo de 2023. Por ejemplo, en septiembre de 2023, UAC-0057 lanzó una campaña maliciosa contra el gobierno ucraniano e instituciones educativas, abusando de una vulnerabilidad de día cero en WinRAR (CVE-2023-38831) para entregar PICASSOLOADER. En el verano de 2023, el grupo aprovechó el mismo cargador para infectar las redes objetivo con njRAT.

En julio de 2024, CERT-UA observó un repentino aumento en la actividad del grupo. Los adversarios armaron archivos que contenían macros maliciosas para propagar PICASSOLOADER and Cobalt Strike Beacon en los sistemas afectados. 

Según la última alerta CERT-UA sobre la actividad de UAC-0057, el contenido de los archivos descubiertos con macros (“oborona.rar,” “66_oborona_PURGED.xls,” “trix.xls,” “equipment_survey_regions_.xls,” “accounts.xls,” “spreadsheet.xls,” “attachment.xls,” “Podatok_2024.xls”) están vinculados a la reforma del gobierno local, fiscalidad e indicadores financiero-económicos.

Basado en la investigación de CERT-UA, UAC-0057 puede haber dirigido tanto a especialistas de oficina de proyectos como a sus homólogos entre los empleados de las autoridades locales pertinentes en Ucrania.

Contexto de MITRE ATT&CK

Aprovechar MITRE ATT&CK proporciona una amplia visibilidad sobre los patrones de comportamiento relacionados con la última actividad maliciosa de UAC-0057 dirigida a agencias de gobierno local ucranianas. Explore la tabla a continuación para ver la lista completa de reglas Sigma dedicadas que abordan las tácticas, técnicas y sub-técnicas correspondientes de ATT&CK.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Ataques UAC-0226: Nueva Campaña de Ciberespionaje Dirigida a Centros de Innovación y Entidades Gubernamentales Ucranianas con GIFTEDCROOK Stealer
Blog, Últimas Amenazas — 4 min de lectura
Detección de Ataques UAC-0226: Nueva Campaña de Ciberespionaje Dirigida a Centros de Innovación y Entidades Gubernamentales Ucranianas con GIFTEDCROOK Stealer
Veronika Telychko
Detección de Ataques UAC-0219: Una Nueva Campaña de Ciberespionaje Usando un Stealer de PowerShell WRECKSTEEL
Blog, Últimas Amenazas — 4 min de lectura
Detección de Ataques UAC-0219: Una Nueva Campaña de Ciberespionaje Usando un Stealer de PowerShell WRECKSTEEL
Veronika Telychko
Detección de Ataques UAC-0200: Actividad de Ciberespionaje Dirigida al Sector de la Industria de Defensa y las Fuerzas Armadas de Ucrania Usando DarkCrystal RAT
Blog, Últimas Amenazas — 3 min de lectura
Detección de Ataques UAC-0200: Actividad de Ciberespionaje Dirigida al Sector de la Industria de Defensa y las Fuerzas Armadas de Ucrania Usando DarkCrystal RAT
Veronika Telychko