Propagation du logiciel malveillant Cobalt Strike Beacon via des courriels de phishing ciblés liés à Azovstal : cyberattaque sur des entités gouvernementales ukrainiennes
Table des matières :
Le 18 avril 2022, CERT-UA a émis une alerte avertissant des cyberattaques en cours visant les organismes d’État ukrainiens. Selon la recherche, des responsables gouvernementaux ont été exposés à des attaques de phishing ciblées utilisant des e-mails liés à Azovstal contenant des pièces jointes malveillantes diffusant le logiciel malveillant Cobalt Strike Beacon. L’activité détectée reflète les comportements associés au collectif de hackers suivi sous le nom de UAC-0098 également connu sous le nom de malware. The detected activity reflects the behavior patterns associated with the hacking collective tracked as UAC-0098 also known as TrickBot.
Attaques de phishing utilisant le logiciel malveillant Cobalt Strike : Aperçu et analyse
Il y a plus d’un mois, des entités gouvernementales ukrainiennes ont été confrontées à des attaques de phishing propageant des leurres par e-mail avec des fichiers malveillants qui se téléchargeaient successivement les uns les autres pour infecter le système ciblé avec un ensemble de souches de logiciels malveillants, y compris Cobalt Strike Beacon, la charge utile de logiciel malveillant par défaut utilisée pour créer une connexion au serveur de l’équipe et conçue pour modéliser des attaquants avancés.
Cobalt Strike Beacon est connu pour avoir été utilisé auparavant dans des campagnes de distribution de logiciels malveillants, y compris les cyberattaques exploitant la vulnérabilité CVE-2018-20250 in the de l’archiver WinRAR. Dans cette cyberattaque, des archives malveillantes ont été livrées via des e-mails de spam et ont déclenché la chaîne d’infection pour exécuter des scripts nuisibles et d’autres charges utiles.
Dans la cyberattaque la plus récente par les acteurs de la menace de UAC-0098, la charge utile malveillante a été propagée via des e-mails de phishing avec le sujet captivant lié à Azovstal. Les e-mails ciblés en question contenaient des pièces jointes XLS et des macros malveillantes impliquées dans la chaîne d’infection qui a conduit à la livraison de Cobalt Strike Beacon et à la compromission de l’ordinateur de la victime. Basée sur les techniques de cryptage appliquées, l’activité révélée a été attribuée au néfaste groupe de logiciels malveillants affilié à la Russie TrickBot.
Contenu comportemental Sigma pour détecter les cyberattaques de UAC-0098 diffusant le logiciel malveillant Cobalt Strike Beacon
Les professionnels de la sécurité peuvent se défendre de manière proactive contre les cyberattaques impliquant Cobalt Strike Beacon propagé par le groupe de piratage UAC-0098 avec un ensemble de règles de détection basées sur Sigma curées par l’équipe SOC Prime :
Règles Sigma pour détecter Cobalt Strike Beacon propagé par UAC-0098
L’ensemble de la pile de détection est étiqueté comme #UAC-0098 pour une recherche de contenu rationalisée pour les menaces connexes. Avant d’accéder aux règles, veuillez vous inscrire à la plateforme SOC Prime’s Detection as Code ou connectez-vous avec votre compte existant.
Les équipes peuvent également rechercher des menaces associées à l’activité du groupe de piratage UAC-0098 en utilisant le contenu de chasse référencé ci-dessus avec le module Quick Hunt de SOC Prime module.
Contexte MITRE ATT&CK®
Les praticiens de la sécurité peuvent explorer le contexte de la dernière attaque de phishing liée à Azovstal contre les organismes d’État ukrainiens basée sur le cadre MITRE ATT&CK. Tout le contenu dédié basé sur Sigma est aligné avec la dernière version du cadre MITRE ATT&CK v.10 abordant les tactiques et techniques correspondantes :
