Les voleurs d’informations Formbook et Snake Keylogger massivement distribués par e-mail en utilisant les logiciels malveillants RelicRace et RelicSource
Table des matières :
Les attaques de vol d’informations qui exploitent le vecteur d’attaque par e-mail de phishing contre les organisations ukrainiennes sont actuellement en hausse, comme la campagne malveillante de moins d’une semaine qui s’est propagée le spyware AgentTesla et ciblant les organismes d’État ukrainiens. Le 25 juillet 2022, le CERT-UA a publié une nouvelle mise en garde avertissant la communauté mondiale des cyberdéfenseurs d’une campagne d’e-mails en cours visant à distribuer massivement des charges malveillantes Formbook et Snake Keylogger utilisées pour voler des données sensibles. Dans cette dernière cyberattaque, les acteurs de la menace exploitent le sujet des e-mails liés aux finances et la pièce jointe d’archive malveillante du même nom comme appâts pour tromper les victimes potentielles afin d’ouvrir le contenu des e-mails. Les attaquants livrent des échantillons de malware en utilisant les téléchargeurs malveillants basés sur .NET identifiés comme RelicRace et RelicSource. Selon la recherche, l’activité malveillante peut être attribuée aux modèles de comportement du collectif de hackers UAC-0041. hacking collective.
Livraison de Formbook & Snake Keylogger : Analyse de la cyberattaque
La dernière cyberattaque couverte dans l’ alerte CERT-UA#5056 est liée à l’activité des acteurs de la menace UAC-0041, précédemment attribuée à la campagne malveillante au printemps 2022 qui a propagé le Trojan IcedID, le notoire malware voleur d’informations. Notamment, le même groupe de hackers a également été associé à la livraison d’échantillons de malwares AgentTesla et XLoader lors des précédentes campagnes malveillantes ciblant les organisations ukrainiennes.
Dans la campagne de phishing en cours, qui est sous les feux de la rampe depuis le 19 juillet 2022, les acteurs de la menace distribuent massivement des e-mails avec des pièces jointes malveillantes sous forme de fichier archive compressé TGZ. Cette archive TGZ contient un fichier exécutable identifié comme un téléchargeur basé sur .NET, RelicRace, utilisé pour télécharger et lancer le malware notoire RelicSource sur les systèmes compromis. Ce dernier est le logiciel d’installation de malware capable de décoder des données stockées dans plusieurs formats de chiffrement, y compris XOR, DES, AES, etc., et d’injecter et de lancer les charges de Formbook et Snake Keylogger. Le malware applique des techniques sophistiquées de persistance et d’anti-analyse pour éviter la détection, rendant plus difficile pour les cyberdéfenseurs l’identification en temps opportun de l’infection.
Selon Fortinet’s FortiGuard Labs, le notoire Snake Keylogger distribué massivement dans la cyberattaque en cours contre l’Ukraine est un malware basé sur .NET qui a été repéré pour la première fois dans l’arène des menaces cybernétiques fin 2020. Le malware est conçu pour voler des données sensibles, telles que les identifiants d’utilisateur, les frappes au clavier, les captures d’écran et les données du presse-papiers. En juillet 2021, Snake Keylogger faisait partie des 10 familles de malware les plus populaires touchant plus d’utilisateurs compromis à travers le monde.
Une autre charge virale répandue dans cette dernière cyberattaque couverte par la recherche CERT-UA, baptisée Formbook, appartient également aux échantillons de malware les plus persistants de vol d’informations, surpassant même le tristement célèbre Trojan bancaire Trickbot. banking Trojan. Formbook est présent dans le paysage des menaces cybernétiques depuis 2016 en tant que malware destiné à voler des identifiants à partir de plusieurs navigateurs web, surveiller et enregistrer les frappes au clavier, télécharger et exécuter des fichiers via le serveur C&C.
Détection des activités de l’UAC-0041 : Règles Sigma pour repérer la dernière vague d’infections par Formbook et Snake Keylogger
Pour aider les professionnels de la sécurité à détecter de manière proactive les intrusions associées aux dernières attaques UAC-0041 contre l’Ukraine, la plateforme Detection as Code de SOC Prime fournit un ensemble de règles Sigmacuratées. Pour une recherche de contenu simplifiée, tout le contenu de détection est étiqueté avec ‘CERT-UA#5056’ basé sur l’aperçu de la campagne détaillé dans l’alerte CERT-UA#5056.
Règles Sigma pour détecter les détails de la campagne Formbook et Snake Keylogger dans CERT-UA#5056
Pour consulter la liste complète des règles de détection et des requêtes de chasse couvrant l’activité malveillante de l’UAC-0041, cliquez sur le bouton Detect & Hunt ci-dessous. Vous pouvez également parcourir le moteur de recherche de menaces cybernétiques de SOC Prime pour explorer les règles Sigma visant la détection UAC-0041 ainsi que pour accéder à des métadonnées contextuelles étendues, comme les références MITRE ATT&CK® et CTI, descriptions CVE, et plus encore.
Detect & Hunt Explore Threat Context
MITRE ATT&CK® Context
Pour obtenir des informations sur le contexte des cyberattaques UAC-0041 visant à distribuer Formbook et Snake Keylogger, les règles Sigma référencées ci-dessus sont alignées avec le cadre MITRE ATT&CK® abordant les tactiques et techniques correspondantes :
Tactics | Techniques | Sigma Rule |
Initial Access | Phishing (T1566) |
