Les acteurs de la menace Armageddon alias UAC-0010 propagent le malware GammaLoad.PS1_v2 dans une nouvelle attaque de phishing contre l’Ukraine
Table des matières :
Au printemps 2022, le groupe de cyber-espionnage notoire soutenu par l’État russe Armageddon, également suivi sous le nom UAC-0010, a lancé une série de cyberattaques de phishing ciblées contre des organismes étatiques ukrainiens et européens. Le 26 juillet 2022, le CERT-UA a émis une série de nouvelles alertes de cybersécurité avertissant la communauté mondiale des défenseurs du cyberespace d’une vague de nouvelles campagnes de phishing par ces acteurs de menace liés à la Russie ciblant l’Ukraine et distribuant massivement le malware GammaLoad.PS1_v2.
Analyse des dernières cyberattaques d’Armageddon APT (UAC-0010) : Distribution Massive du Malware GammaLoad.PS1_v2
Depuis 2014 et avec l’escalade de l’ agression russe contre l’Ukraine le 24 février 2022, la Russie a fait évoluer sa guerre hybride et intensifié ses campagnes de cyber-espionnage. Selon le rapport technique du Service de Sécurité d’Ukraine (SSU), le collectif de hackers Armageddon, également connu sous le nom Gamaredon basé sur une faute d’orthographe du nom original du groupe, a été créé en tant qu’unité spéciale pour mener des activités d’intelligence et de cyber-espionnage contre les organismes étatiques ukrainiens.
Suite à une série de cyberattaques au printemps 2022 lancée par le groupe APT Armageddon, les acteurs de menace sont à nouveau en hausse, exploitant le vecteur d’attaque des courriels de phishing. Plus tôt, en avril 2022, le groupe également identifié sous le nom UAC-0010 a lancé une série de cyberattaques visant des organismes étatiques ukrainiens et européens en diffusant des courriels de phishing avec des pièces jointes malveillantes. Un mois plus tard, le groupe Armageddon a réémergé dans l’arène des menaces cybernétiques en utilisant son vecteur d’attaque de phishing préféré pour déployer le logiciel malveillant GammaLoad.PS1_v2 sur les systèmes compromis.
Selon les dernières alertes CERT-UA, le collectif de hackers UAC-0010 distribue massivement des courriels de phishing ciblés en utilisant des leurres liés à la guerre comme sujets de courriers électroniques et déguisés en expéditeurs de l’Académie Nationale du Service de Sécurité d’Ukraine. Ces courriels usurpés contiennent un déposeur HTM qui déclenche une chaîne d’infection. Une fois ouvert, ce dernier crée une archive RAR malveillante avec un fichier de raccourci LNK utilisé comme leurre pour tromper les victimes en l’ouvrant. S’il est ouvert, le fichier LNK susmentionné télécharge et exécute un fichier HTA contenant du code VBScript, qui utilise PowerShell pour déchiffrer et lancer le malware GammaLoad.PS1_v2 sur les ordinateurs ciblés. Pour échapper à la détection, les attaquants utilisent des services externes pour empêcher la résolution DNS des serveurs C2.
En raison d’une augmentation dramatique des cyberattaques de phishing utilisant les techniques adverses susmentionnées, il est fortement recommandé que les organisations mondiales mettent en œuvre des programmes complets de gestion de la surface d’attaque dans le cadre de leurs stratégies de cybersécurité. L’utilisation des services de courrier électronique externe sur les appareils de l’organisation empêche le contenu des courriers d’être correctement vérifié pour la sécurité, ce qui peut potentiellement conduire à des attaques de phishing.
Détection de l’Activité UAC-0010 : Règles Sigma pour Se Défendre Contre les Cyberattaques de Phishing Émergentes
Avec un nombre sans cesse croissant de cyberattaques de phishing ciblant des milliers d’organisations à travers le monde, les défenseurs du cyberespace prennent conscience que se défendre de manière proactive contre l’activité malveillante liée est une priorité absolue pour améliorer la posture de cybersécurité de l’organisation. La plateforme Detection as Code de SOC Prime curate des alertes à haute fidélité et des requêtes de chasse aux menaces vérifiées pour permettre aux organisations d’identifier en temps opportun l’activité malveillante des acteurs de menace Armageddon (UAC-0010) couvertes dans les dernières alertes CERT-UA.
Pour une recherche de contenu simplifiée, toutes les détections sont étiquetées comme #UAC-0010 basé sur l’identifiant associé à l’activité adverse. Les utilisateurs enregistrés de SOC Prime peuvent tirer parti des règles Sigma dédiées en suivant le lien ci-dessous :
Les professionnels de la cybersécurité sont également invités à accéder à plus de règles Sigma pour détecter les cyberattaques du groupe Armageddon également connu sous le nom Gamaredon en cliquant sur le Détecter et Chasser bouton ci-dessous. Alternativement, les praticiens de l’InfoSec peuvent parcourir le moteur de recherche de cybermenaces de SOC Prime pour l’activité d’adversaire UAC-0010 et explorer instantanément un contexte de menace complet comme MITRE ATT&CK® et références CTI, liens médias, binaires exécutables liés aux règles Sigma, et plus de métadonnées contextuelles en plus des détections connexes même sans inscription.
Détecter et Chasser Explorer le Contexte de Menace
Contexte MITRE ATT&CK®
Pour obtenir des perspectives sur le contexte MITRE ATT&CK des dernières cyberattaques du groupe APT Armageddon également connu sous le nom UAC-0010, toutes les règles Sigma dédiées sont alignées avec le cadre MITRE ATT&CK® abordant les tactiques et techniques correspondantes :
