Détection du Malware Cobalt Strike Beacon : Une Nouvelle Cyber-Attaque sur les Organisations Gouvernementales Ukrainiennes Attribuée au Groupe UAC-0056
Table des matières :
Le notoire malware Cobalt Strike Beacon a été activement distribué par plusieurs collectifs de hackers au printemps 2022 dans le cadre de la cyberguerre en cours contre l’Ukraine, principalement utilisé dans des attaques de phishing ciblées sur les organismes d’État ukrainiens. Le 6 juillet 2022, le CERT-UA a publié une alerte avertissant d’une nouvelle campagne d’e-mails malveillants visant des entités gouvernementales ukrainiennes. L’attaque informatique en cours implique la distribution massive d’e-mails avec un sujet leurre et une pièce jointe de fichier XLS contenant une macro malveillante conduisant à la propagation de l’infection au malware Cobalt Strike Beacon sur un système compromis.
Distribution du Cobalt Strike Beacon : Le CERT-UA détaille la dernière attaque UAC-0056 contre l’Ukraine
Plus tôt, en mars 2022, les chercheurs du CERT-UA ont observé l’activité du groupe de hackers UAC-0056 diffusant le Cobalt Strike Beacon avec d’autres souches de malware dans une campagne de phishing contre des entités gouvernementales ukrainiennes. La dernière cyberattaque rapportée par le CERT-UA partage des similitudes avec l’incident précédent utilisant le même vecteur d’attaque et appliquant les mêmes schémas de comportement pouvant être attribués à l’activité du groupe UAC-0056.
La chaîne d’attaque commence par un e-mail de phishing contenant des leurres militaires et un document XLS malveillant en pièce jointe. Si l’utilisateur est berné pour ouvrir le document et activer une macro intégrée, un fichier malveillant “write.exe” est exécuté sur l’instance infectée. L’analyse du CERT-UA montre que ce fichier agit comme un dropper pour déclencher un script PowerShell. De plus, “write.exe” assure la persistance en créant une clé “Check License” dans le registre Windows.
Lors de la prochaine étape de l’attaque, le script PowerShell contourne AMSI, désactive la journalisation des événements pour PowerShell et assure le décodage et l’extraction du script PowerShell de deuxième étape visant l’infection Cobalt Strike Beacon.
Détecter l’activité UAC-0056 : Règles Sigma pour repérer les nouvelles attaques contre le gouvernement ukrainien
Pour aider les cyberdéfenseurs dans la détection proactive et l’atténuation de l’activité malveillante associée à la dernière attaque contre des entités gouvernementales ukrainiennes, la plateforme Detection as Code de SOC Prime offre un ensemble de règles Sigma sélectionnées. Pour une recherche simplifiée de contenu de détection pertinent, toutes les règles Sigma sont marquées comme #UAC-0056 basées sur l’activité attribuée à cette cyberattaque récente couverte dans l’alerte CERT-UA#4914. Pour accéder instantanément aux algorithmes de détection, suivez le lien ci-dessous après vous être inscrit ou connecté à la plateforme de SOC Prime :
Règles Sigma pour détecter l’activité malveillante du groupe UAC-0056
Pour obtenir la liste complète des règles de détection et des requêtes de chasse permettant aux experts en cybersécurité d’identifier en temps opportun la présence malveillante de Cobalt Strike Beacon dans leur environnement, cliquez sur le Détecter & Chasser bouton ci-dessous. Parcourez le moteur de recherche de menaces cybernétiques de SOC Prime pour explorer instantanément la liste des règles Sigma visant à détecter l’activité malveillante des acteurs de menace UAC-0056 ainsi que les métadonnées contextuelles approfondies, telles que les références MITRE ATT&CK® et CTI, les descriptions CVE et plus de contexte de menace pertinent.
Détecter & Chasser Explorer le contexte des menaces
Contexte MITRE ATT&CK®
Pour obtenir des informations sur le contexte des cyberattaques attribuées à l’activité du groupe UAC-0056 ciblant les responsables gouvernementaux ukrainiens, toutes les règles Sigma référencées ci-dessus sont alignées avec le cadre MITRE ATT&CK® abordant les tactiques et techniques correspondantes :
