Détection de CredPump, HoaxPen et HoaxApe Backdoor : Les hackers UAC-0056 lancent des attaques perturbatrices contre les sites gouvernementaux ukrainiens prévues plus d’un an à l’avance
Table des matières :
À l’approche de la date anniversaire d’un an de la déclenchement de la guerre à grande échelle en Ukraine, les défenseurs du cyberespace ont abordé les risques d’attaques potentielles contre l’Ukraine et ses alliés par les forces offensives russes. Le 23 février, les chercheurs en cybersécurité du CERT-UA ont révélé l’activité malveillante attribuée au groupe de piratage UAC-0056, qui a été observée dans des campagnes malveillantes contre l’Ukraine exploitant le vecteur d’attaque par hameçonnage en juillet 2022. Dans la campagne ennemie découverte, les acteurs menaçants visaient à perturber l’intégrité et la disponibilité des sites gouvernementaux en utilisant plusieurs portes dérobées, qui avaient été implantées plus d’un an auparavant.
Analyse des attaques cybernétiques perturbatrices contre l’Ukraine par le groupe lié à la Russie UAC-0056
Le 23 février 2023, CISA a émis une alerte exhortant les organisations américaines et européennes à renforcer leur vigilance numérique en réaction aux attaques informatiques potentielles des agresseurs russes. Les défenseurs de la cybersécurité ont averti les organisations et les utilisateurs individuels des risques élevés d’attaques perturbatrices contre plusieurs sites web marquant le premier anniversaire de l’invasion à grande échelle de l’Ukraine par la Russie. L’alerte a été émise peu de temps après que les chercheurs du CERT-UA ont détecté une activité malveillante perturbatrice contre les sites web du gouvernement ukrainien et l’ont couverte dans l’ alerte CERT-UA#6060.
Les chercheurs en cybersécurité du CERT-UA ont découvert un incident visant les organes gouvernementaux ukrainiens et visant à paralyser l’intégrité et la disponibilité des sites informatiques d’État. Sur la base des modèles de comportement observés, l’activité ennemie peut être attribuée au collectif de piratage UAC-0056 (DEV-0586, unc2589) ou Ember Bear.
Le collectif de piratage était derrière une série d’attaques par hameçonnage sur les organes étatiques ukrainiens à la mi-été 2022, diffusant le logiciel malveillant Cobalt Strike Beacon. Ember Bear est un groupe suspecté d’espionnage cybernétique soutenu par la nation russe, qui a été observé dans l’arène des menaces cybernétiques depuis mars 2021, ciblant principalement l’Ukraine et la Géorgie ainsi que des organisations en Europe et aux États-Unis dans de nombreux secteurs industriels, notamment la finance et la pharmacie. Le groupe lié à la Russie UAC-0056 pourrait également être derrière l’ attaque de suppression de données WhisperGate au tournant de 2022.
Le 23 février 2023, les chercheurs ont révélé l’un des webshells chiffrés sur l’une des ressources web compromises, qui a été observé comme ayant été exploité par les attaquants la nuit précédente. Suite à l’activité malveillante, un nouveau fichier « index.php » a été créé dans le catalogue racine du web. Ce dernier fichier a permis la modification du contenu de la page d’accueil de la ressource web compromise. Les acteurs menaçants ont communiqué avec le webshell en utilisant des adresses IP, y compris celles appartenant aux appareils voisins d’autres organisations piratées en raison de leur utilisation de compte antérieure et de la connexion VPN correspondante activée.
Dans cette campagne en cours, les adversaires ont exploité un célèbre backdoor SSH CredPump (utilisé comme module RAM), permettant aux attaquants d’obtenir un accès SSH à distance et d’activer la journalisation des identifiants via une connexion basée sur SSH. D’autres souches de logiciels malveillants découvertes, connues sous le nom de portes dérobées HoaxPen et HoaxApe, ont été déployées en février 2022 pour l’exécution de code, il y a un an avant le lancement d’une campagne malveillante.
Aux stades antérieurs du cycle de vie de l’attaque, les acteurs de la menace ont appliqué d’autres échantillons de logiciels malveillants, y compris les utilitaires GOST (Go Simple Tunnel) et Ngrok, pour déployer la porte dérobée HoaxPen. Notamment, les acteurs de la menace avaient planifié un accès à distance non autorisé aux systèmes ciblés bien avant le lancement d’une campagne malveillante.
Détection de l’Activité Malveillante du Groupe UAC-0056 Couverte dans l’Alerte CERT-UA#6060
Avec CERT-UA et CISA émettant des alertes avertissant des actions perturbatrices en cours et potentielles affiliées à la Russie contre l’Ukraine et ses alliés, les organisations et les utilisateurs individuels devraient prendre des mesures immédiatement pour se défendre proactivement contre l’activité malveillante associée et renforcer leur vigilance numérique. La plateforme Detection as Code de SOC Prime organise un ensemble de règles Sigma pour détecter l’activité ennemie du tristement célèbre groupe UAC-0056, qui est derrière la dernière campagne couverte dans le alerte CERT-UA#6060. Les détections sont alignées avec le cadre MITRE ATT&CK® v12 et sont instantanément convertibles en plus de 27 solutions SIEM, EDR et XDR prêtes à être déployées dans l’environnement spécifique de l’organisation. Pour une recherche de contenu simplifiée, toutes les règles Sigma sont filtrées par le tag personnalisé correspondant “CERT-UA#6060” basé sur l’identifiant de l’alerte CERT-UA.
Cliquez sur le bouton Explore Detection pour accéder à la liste complète des algorithmes de détection pertinents enrichis de contexte de menace cybernétique approfondie, comme les références ATT&CK et les liens CTI, les atténuations et les fichiers exécutables liés aux règles Sigma.
Contexte MITRE ATT&CK
Pour explorer le contexte derrière la dernière campagne malveillante UAC-0056 signalée dans l’alerte CERT-UA#6060, toutes les règles Sigma dédiées sont automatiquement taguées avec ATT&CK pour adresser les tactiques et techniques correspondantes :
Depuis le 24 février 2022, la Russie a lancé plus de 2 100 cyberattaques contre l’Ukraine et ses alliés, dont certaines avaient été planifiées plus tôt, comme dans le cas de la dernière activité des pirates UAC-0056. Pour aider les équipes à toujours être en avance sur les menaces affiliées à la Russie actuelles et émergentes, profitez de l’abonnement basé sur le principe de charité #Sigma2SaveLives offrant un accès direct à plus de 500 règles Sigma contre des groupes APT soutenus par la nation russe ainsi qu’à 50 détections de votre choix. Obtenez l’abonnement avec 100 % des revenus reversés pour aider la défense de l’Ukraine sur https://my.socprime.com/pricing/.
