Détection de CredoMap et Cobalt Strike Beacon : Le groupe APT28 et les acteurs de la menace UAC-0098 attaquent de nouveau les organisations ukrainiennes

[post-views]
juin 21, 2022 · 5 min de lecture
Détection de CredoMap et Cobalt Strike Beacon : Le groupe APT28 et les acteurs de la menace UAC-0098 attaquent de nouveau les organisations ukrainiennes

Le 20 juin 2022, le CERT-UA a émis deux alertes distinctes avertissant la communauté mondiale de la cybersécurité d’une nouvelle vague de cyberattaques sur les organisations ukrainiennes exploitant la vulnérabilité zero-day néfaste activement exploitée et suivie sous le numéro CVE-2022-30190 aka Follina. Dans l’alerte CERT-UA#4842 , les chercheurs en cybersécurité ont révélé l’activité malveillante d’un groupe de pirates identifié sous le nom UAC-0098 diffusant le malware Cobalt Strike Beacon . Une autre alerte CERT-UA#4843 met en lumière la distribution du malware CredoMap attribuée à l’activité malveillante du célèbre collectif de pirates soutenu par l’État russe APT28 également connu sous le nom UAC-0028.

Détecter l’activité malveillante d’APT28 et UAC-0098 observée dans les cyberattaques contre l’Ukraine

Pour aider les praticiens de la cybersécurité à se défendre de manière proactive contre l’activité malveillante couverte dans les alertes CERT-UA#4842 et CERT-UA#4843, la plateforme Detection as Code de SOC Prime propose un ensemble de règles Sigmadédiées. Pour une recherche de contenu optimisée, tous les algorithmes de détection sont étiquetés sur la base de l’activité de l’adversaire associée aux attaques pertinentes, comme #UAC-0098, ou en fonction de l’identification de l’alerte CERT-UA correspondante, comme CERT-UA#4843. Les utilisateurs de SOC Prime sont encouragés à se connecter à la plateforme avec leur compte actuel ou à en créer et activer un nouveau pour accéder aux kits de règles dédiés :

Règles Sigma pour détecter l’activité malveillante du groupe UAC-0098, y compris les récentes attaques couvertes dans l’alerte CERT-UA#4842

Règles Sigma pour détecter l’activité malveillante couverte dans l’alerte CERT-UA#4843

Tous les éléments de contenu SOC référencés ci-dessus, filtrés selon les balises correspondantes, sont alignés avec le cadre MITRE ATT&CK® et sont compatibles avec les principales solutions SIEM, EDR et XDR du secteur, permettant aux équipes d’adapter leurs capacités de détection et de chasse à leurs profils de menace uniques et aux besoins de leur environnement.

De plus, ci-dessous, vous trouverez une liste exhaustive de règles basées sur Sigma pour détecter l’activité malveillante du collectif de pirates APT28 également identifié sous le nom UAC-0028, qui a été repéré dans la dernière campagne diffusant le malware CredoMap en plus de plusieurs attaques de phishing antérieures contre l’Ukraine :

Règles Sigma pour détecter l’activité malveillante d’APT28/UAC-0028

Pour accéder à la liste complète des règles Sigma pour la détection de l’exploitation de la vulnérabilité CVE-2022-30190, les utilisateurs inscrits à SOC Prime peuvent cliquer sur le bouton Detect & Hunt et explorer instantanément la pile de détection dédiée. Les professionnels de la cybersécurité peuvent également parcourir SOC Prime même sans inscription pour explorer immédiatement les dernières tendances dans le domaine des cybermenaces, accéder aux nouvelles règles Sigma publiées et obtenir des informations contextuelles pertinentes.

Detect & Hunt Explorer le contexte des menaces

Distribution des malwares CredoMap et Cobalt Strike Beacon : Aperçu des dernières attaques contre l’Ukraine

En juin 2022, les chercheurs en cybersécurité ont observé des attaques enhcours ciblant des entités gouvernementales ukrainiennes exploitant la vulnérabilité zero-day CVE-2022-30190 de Windows et diffusant le malware Cobalt Strike Beacon. Dans les dernières campagnes malveillantes ciblant les organisations ukrainiennes, les acteurs de la menace APT28 et UAC-0098 continuent d’exploiter la vulnérabilité CVE-2022-30190, tentant de livrer des échantillons de malwares Cobalt Strike Beacon et CredoMap en appliquant un vecteur d’attaque similaire avec l’utilisation d’une pièce jointe leurre.

Les deux souches de malware utilisées dans les dernières attaques couvertes par les alertes CERT-UA mentionnées ont déjà été au centre de l’attention des chercheurs en cybersécurité lors de la cyber-guerre mondiale en cours représentant le vecteur d’attaque de phishing. Plus tôt cette année, en avril 2022, le collectif de hackers UAC-0098 également connu sous le nom de TrickBot a été découvert en train de diffuser Cobalt Strike Beacon lors d’une campagne de phishing ciblant des responsables ukrainiens et utilisant des emails liés à Azovstal. En ce qui concerne les précédentes campagnes de phishing menées par le groupe APT-28 lié à la Russie, alias UAC-0028, en mars 2022, il a été repéré derrière une attaque cybernétique contre les instances étatiques ukrainiennes utilisant également la version mise à jour du malware CredoMap surnommée CredoMap_v2.

Dans les dernières campagnes mises en évidence par les CERT-UA#4842 and CERT-UA#4843 alertes, les adversaires ont utilisé un document leurre qui déclenche une chaîne d’infection et conduit au téléchargement d’un fichier HTML, suivi par l’exécution de code JavaScript malveillant, ce qui répand davantage le malware sur les systèmes compromis. Dans la cyberattaque attribuée au groupe UAC-0098, le fichier DOCX leurre a été livré par le biais d’un détournement d’email se faisant passer pour le Service fiscal d’État de l’Ukraine.

Avec le nombre croissant de volumes d’attaques qui façonnent le paysage moderne des cybermenaces, les professionnels de la cybersécurité sont constamment à la recherche de capacités de défense contre les cybermenaces renforcées et de nouvelles méthodes pour rationaliser les enquêtes sur les menaces. La plateforme Detection as Code de SOC Prime exploite la puissance de la défense cybernétique collaborative pour permettre aux organisations mondiales de renforcer la détection des menaces et d’accélérer la vitesse de chasse aux menaces plus efficacement que jamais. De plus, les professionnels de la cybersécurité individuels qui souhaitent créer leurs propres règles de détection ont une excellente opportunité de rejoindre le Threat Bounty Program et voir en action comment leur contribution de contenu aide à bâtir un avenir plus sûr.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection de l’attaque Secret Blizzard : un groupe APT soutenu par la russie cible les ambassades étrangères à Moscou avec le malware ApolloShadow 6 min de lecture Dernières Menaces Détection de l’attaque Secret Blizzard : un groupe APT soutenu par la russie cible les ambassades étrangères à Moscou avec le malware ApolloShadow by Daryna Olyniychuk Détection du Malware Koske : Nouvelle Menace Linux Générée par l’IA 7 min de lecture Dernières Menaces Détection du Malware Koske : Nouvelle Menace Linux Générée par l’IA by Veronika Telychko Intelligence sur les menaces basée sur l’IA 18 min de lecture SIEM & EDR Intelligence sur les menaces basée sur l’IA by Veronika Telychko
Toutes les actualités