Détecter le logiciel malveillant SmokeLoader : UAC-0006 frappe à nouveau pour cibler l’Ukraine dans une série d’attaques par hameçonnage
Table des matières :
Sur les talons du massif attaques de phishing lancées par UAC-0006 au début de mai 2023, CERT-UA avertit les cyber-défenseurs d’une nouvelle vague de cyberattaques entraînant des infections par SmokeLoader. La dernière enquête indique que les adversaires diffusent de plus en plus d’emails de phishing avec des sujets financiers et utilisent des pièces jointes ZIP/RAR pour diffuser des échantillons malveillants sur les instances ciblées.
Analyser les attaques de phishing UAC-0006 visant la distribution de SmokeLoader
Le 29 mai 2023, les experts de CERT-UA ont publié une nouvelle alerte CERT-UA#6757 détaillant la campagne de phishing en cours lancée par le collectif de pirates UAC-0006. En utilisant les pièces jointes malveillantes avec un téléchargeur JavaScript dédié, les adversaires livrent SmokeLoader aux systèmes ciblés. Plus précisément, les pirates utilisent soit des archives ZIP soit RAR contenant des fichiers HTML ou VHDX malveillants. En cas d’extraction, l’archive déclenche du code JavaScript, qui télécharge et lance le fichier exécutable qui dépose ensuite SmokeLoader pour propager l’infection davantage.
L’équipe CERT-UA identifie un certain nombre de mises à jour importantes dans la chaîne de destruction des attaques UAC-0006 par rapport à la campagne de phishing similaire lancée plus tôt en mai 2023. En particulier, les experts observent que les attaquants ont tendance à utiliser plusieurs chaînes d’infection. De plus, l’échantillon de SmokeLoader utilisé dans la dernière campagne contient 26 liens URL vers un serveur contrôlant un botnet. En outre, CERT-UA a identifié un Cobalt Strike Beacon appliqué lors des intrusions, ce qui indique que UAC-0006 vise à étendre son ensemble d’outils.
Détection de l’activité récente des adversaires UAC-0006
Juste quelques semaines après des attaques de phishing massives diffusant SmokeLoader, les acteurs de la menace UAC-0006 responsables des intrusions précédentes ont fait surface pour frapper à nouveau. En raison des changements dans les TTP des adversaires et de l’utilisation de multiples chaînes d’infection dans la dernière opération offensive, les organisations peuvent être potentiellement exposées à des risques plus graves, ce qui nécessite une attention urgente des cyber-défenseurs. SOC Prime a récemment publié un ensemble de règles Sigma pertinentes pour détecter en temps opportun l’activité malveillante du groupe UAC-0006 couvert par la dernière alerte CERT-UA#6757. Tout le contenu de détection est filtré par les tags personnalisés “CERT-UA#6757” ou “UAC-0006” selon l’alerte correspondante et les ID de groupe, ce qui permet aux chercheurs de rationaliser la recherche de contenu et les activités de chasse aux menaces.
Appuyez sur le bouton Explore Detections pour accéder instantanément à l’ensemble de la collection de règles Sigma pour la détection des attaques UAC-0006 mappée à MITRE ATT&CK® et automatiquement convertible en solutions SIEM, EDR et XDR de premier plan. Pour explorer les métadonnées pertinentes, les liens ATT&CK et les références CTI ainsi que d’autres contextes de menace cybernétique sont également disponibles.
Les membres de l’équipe SOC sont également invités à rechercher des IOCs liés à l’activité malveillante UAC-0006 en utilisant Uncoder AI, un cadre d’intelligence augmentée qui sert d’outil ultime pour les chasseurs de menaces et les ingénieurs de détection, permettant de convertir des IOCs en requêtes IOC personnalisées sans limites. Il suffit d’insérer les IOCs de fichier, d’hôte ou de réseau fournis dans l’alerte CERT-UA#6757 dans l’outil, de sélectionner la plateforme de votre choix, d’appliquer les paramètres de requête personnalisés en fonction de vos besoins en sécurité, et d’être prêt à chasser les menaces pertinentes instantanément dans votre environnement SIEM ou EDR.
Contexte MITRE ATT&CK
Pour explorer les TTPs utilisés lors de la toute récente attaque par le groupe de hackers UAC-0006 diffusant SmokeLoader, toutes les règles Sigma mentionnées ci-dessus sont mappées à ATT&CK et abordent les tactiques et techniques correspondantes :
