Détection de la Campagne SmokeLoader : UAC-0006 Continue de Cibler les Institutions Financières Ukrainiennes dans une Série d’Attaques de Phishing
Table des matières :
collectif de piratage UAC-0006 est en hausse, ciblant activement les organisations ukrainiennes avec le malware SmokeLoader dans une campagne de longue durée visant à des profits financiers. La dernière alerte de cybersécurité CERT-UA décrit que le groupe de pirates a lancé une troisième cyberattaque massive consécutive, menaçant gravement les systèmes bancaires à travers le pays.
Analyse de la campagne de phishing UAC-0006 visant la distribution de SmokeLoader
À la suite de l opération offensive UAC-0006 de mi-juillet 2023, les adversaires ciblent de manière persistante le secteur financier ukrainien avec une troisième attaque consécutive en dix jours, en utilisant un vecteur de phishing pour livrer le malware SmokeLoader.
Une analyse détaillée par CERT-UA révèle que la dernière attaque implique l’utilisation d’un fichier polyglote ZIP dédié, dont le contenu varie selon le programme d’extraction. Si WinRAR est utilisé, le polyglote ZIP contiendrait soit une .pdf or .docx extension, menant à une séquence de téléchargeur JavaScript, archive SFX, script BAT et fichiers leurres, attirant les victimes avec des appâts à thème financier, particulièrement liés aux instructions de paiement de Privat Bank, l’une des plus grandes banques d’Ukraine.
Avec plus de 1000 appareils actuellement asservis au botnet, CERT-UA affirme avec un haut degré de confiance que les adversaires exploitent des données d’authentification compromises issues d’attaques précédentes pour exécuter des campagnes de phishing par e-mail à grande échelle.
Alors que les activités malveillantes d’UAC-0006 s’intensifient, CERT-UA anticipe une augmentation notable de la fraude cybernétique ciblant les systèmes bancaires à distance. Pour contrer ces menaces, les défenseurs recommandent fortement de mettre en œuvre des mesures d’atténuation telles que restreindre l’utilisation d’utilitaires comme wscript.exe, cscript.exe, powershell.exe, et mshta.exe tout en mettant en place un filtrage des flux d’informations sortants.
Détection de la campagne SmokeLoader par UAC-0006 détaillée dans les alertes CERT-UA#7065, CERT-UA#7076
Pour aider les défenseurs cybernétiques à contrer les activités malveillantes visant les infections SmokeLoader, la plateforme SOC Prime pour la défense cybernétique collective fournit un ensemble de règles Sigma triées visant la détection des attaques UAC-0006.
Appuyez sur le Explorez les détections bouton ci-dessous pour obtenir un lot exhaustif de règles Sigma dédiées permettant aux professionnels de la sécurité d’identifier en temps opportun les TTPs pertinents exploités par le collectif UAC-0006. Pour simplifier la recherche de contenu SOC, appliquez les tags correspondants « UAC-0006 », « CERT-UA#7065 », « CERT-UA#7066, » ou « SmokeLoader » pour sélectionner les algorithmes de détection améliorés avec le contexte de menace cybernétique et automatiquement convertibles en dizaines de formats SIEM, EDR, XDR.
Les ingénieurs en sécurité peuvent également s’appuyer sur Uncoder AI pour rechercher facilement les IOC listés dans les CERT-UA#6613, CERT-UA#6757, CERT-UA#6999 alertes en créant des requêtes IOC personnalisées et en les exécutant dans l’environnement sélectionné à la volée.
Contexte MITRE ATT&CK
Les défenseurs cybernétiques peuvent également obtenir des informations sur le contexte derrière les dernières attaques de phishing par UAC-0006 en explorant plus en détail le tableau ci-dessous, qui fournit la liste des tactiques et techniques adverses pertinentes selon ATT&CK :
