Spyware AgentTesla Massivement Distribué dans des Campagnes de Phishing Ciblant des Organisations Ukrainiennes, Autrichiennes et Allemandes
Table des matières :
Les 30 et 31 août 2022, le CERT-UA a révélé une explosion d’activité des adversaires distribuant massivement des emails de phishing parmi les organisations ukrainiennes, autrichiennes et allemandes. Selon l’alerte correspondante CERT-UA#5252, les hackers exploitent le vecteur des pièces jointes emails pour diffuser le célèbre malware voleur d’informations AgentTesla. L’activité malveillante peut être attribuée aux schémas de comportement du collectif de hackers suivi sous le nom de UAC-0120. info-stealing malware. The malicious activity can be attributed to the behavior patterns of the hacking collective tracked as UAC-0120.
Distribution de malware AgentTesla : Analyse des dernières campagnes d’emails par UAC-0120
Depuis que le monde est entré dans la guerre cybernétique mondiale avec le lancement par la Russie de son invasion majeure de l’Ukraine, les collectifs de hackers liés à la Russie ont intensifié leur activité malveillante en lançant des campagnes de cyberespionnage et des cyberattaques destructrices. Dans le cadre de ces campagnes, les adversaires ont exploité des échantillons de malware voleur d’informations, tels que le cheval de Troie IcedID et le spyware AgentTesla. Ce dernier appartient à l’un des chevaux de Troie espions les plus utilisés, conçu pour voler des données sensibles aux utilisateurs compromis. Le malware AgentTesla est apparu lors des premières cyberattaques contre l’Ukraine attribuées à l’activité malveillante du groupe de hackers UAC-0041.
Le 31 août 2022, le CERT-UA a émis une alerte CERT-UA#5252 avertissant la communauté mondiale de la cybersécurité d’une nouvelle vague de cyberattaques par le groupe de hackers UAC-0120 distribuant massivement le spyware AgentTesla. Les adversaires lancent des campagnes d’emails de phishing en cours ciblant des organisations en Ukraine, Autriche et Allemagne. Ces emails contiennent des pièces jointes IMG malveillantes nommées « Technisches Zeichnen » (« Dessin Technique ») utilisées en tant qu’appâts de phishing pour inciter les victimes à les ouvrir et propager l’infection. L’appât IMG est accompagné d’un fichier CHM qui, une fois ouvert, exécute du code JavaScript malveillant. Ce dernier télécharge et lance le fichier node.txt via un script PowerShell.
En conséquence, le code PowerShell exécute des fichiers DLL et EXE, ce dernier étant le spyware AgentTesla, qui infecte les systèmes compromis. Selon les recherches du CERT-UA, des emails de phishing similaires ont été envoyés le 11 août, mais ils utilisaient d’autres appâts pour les objets et pièces jointes des emails.
Détection de l’activité UAC-0120 : Règles Sigma pour se défendre de manière proactive contre les attaques par phishing diffusant AgentTesla
Pour se défendre de manière proactive contre l’activité émergente des divers collectifs de hackers diffusant des malwares voleurs d’informations, les chercheurs en cybersécurité cherchent des moyens d’améliorer les capacités de détection des menaces et d’accélérer la rapidité de chasse aux menaces. L’équipe SOC Prime a réalisé un ensemble unique de règles Sigma pour détecter l’activité malveillante du groupe UAC-0120, qui est derrière les cyberattaques en cours distribuant le spyware AgentTesla. Étant donné que ces campagnes de phishing ciblent plusieurs organisations d’Ukraine, d’Autriche et d’Allemagne, les défenseurs cyber doivent rester en alerte pour identifier à temps l’infection dans l’infrastructure de leur organisation et atténuer la menace potentielle.
Les praticiens de la cybersécurité peuvent explorer SOC Prime pour les menaces associées à l’identifiant du groupe « UAC-0120 » et accéder instantanément aux règles Sigma pertinentes enrichies de métadonnées contextuelles perspicaces, comme les références MITRE ATT&CK® et CTI :
Toutes les règles Sigma sont disponibles sur la plateforme Detection as Code de SOC Prime et peuvent être appliquées à travers les technologies SIEM, EDR et XDR leader du secteur.
Accédez instantanément aux règles Sigma enrichies de contexte pour la détection du malware AgentTesla directement depuis le moteur de recherche des cybermenaces de SOC Prime. Cliquez sur le bouton Explore Detections et approfondissez le contenu de détection pertinent accompagné d’informations contextuelles complètes pour une enquête approfondie sur les menaces. Besoin de plus que des règles de détection ? Profitez du Detection as Code disponible sur demande offrant une flexibilité maximale avec un solde prépayé.
Explore Detections Choisir un Plan
Contexte MITRE ATT&CK®
Toutes les règles Sigma dédiées sont alignées avec le cadre MITRE ATT&CK® couvrant les tactiques et techniques des adversaires permettant aux professionnels de la cybersécurité de gagner instantanément des insights sur le contexte MITRE ATT&CK derrière les campagnes d’emails en cours du groupe UAC-0120 :
Restez en avance sur les menaces émergentes avec un accès à la demande au contenu Detection-as-Code le plus récent et pertinent disponible sur la plateforme de SOC Prime. Choisissez le plan d’abonnement On-Demand et économisez jusqu’à 2200 heures en recherche de menaces et développement de contenu de détection tout en maximisant la valeur des ressources de votre équipe SOC.
