Détection du Malware Jester Stealer : Attaques de Phishing Répandant des Malwares Voleurs d’Informations par le Groupe de Hackers UAC-0104
Table des matières :
Une vague de nouvelles cyberattaques par hameçonnage a récemment balayé l’Ukraine. Juste après une attaque par les acteurs de la menace APT28 répandant le logiciel malveillant de vol d’informations CredoMap_v2, un autre groupe de hackers a récemment distribué des e-mails de phishing déployant un logiciel malveillant appelé Jester Stealer, comme le rapporte le CERT-UA. Cette dernière activité malveillante a été suivie sous le nom UAC-0104 en fonction des schémas de comportement de l’adversaire.
Analyse de Jester Stealer de la Dernière Attaque par UAC-0104
Voleurs d’informations, qui permettent aux attaquants d’exfiltrer les données sensibles des victimes, évoluent constamment avec le phishing comme l’un des vecteurs d’attaque les plus efficaces. Les échantillons de logiciels malveillants de vol d’informations exfiltrent généralement des données depuis les navigateurs Web, les clients MAIL/FTP/VPN, les portefeuilles de cryptomonnaies, les gestionnaires de mots de passe, etc. La campagne Jester Stealer nouvellement détectée utilise un logiciel malveillant de vol d’informations découvert par Cyble Research Labs en février 2022.
Dans la dernière cyberattaque via des e-mails de phishing infectés avec Jester Stealer, les acteurs de la menace ont exploité le sujet « attaque chimique » comme appât destiné à tromper les utilisateurs en leur faisant ouvrir des e-mails contenant un lien vers un fichier XLS avec une macro malveillante. Après ouverture du fichier et activation de la macro, cette dernière lance un fichier exécutable, qui infecte ensuite le système avec la souche de logiciel malveillant de vol d’informations mentionnée ci-dessus. Les données exfiltrées peuvent ensuite être partagées avec les attaquants en utilisant le service de messagerie Telegram via des adresses proxy définies statistiquement, y compris le réseau TOR. Le voleur d’informations utilisé par le groupe UAC-0104 utilise un ensemble de techniques pour entraver l’analyse des logiciels malveillants et ne possède pas de mécanisme de persistance. À travers une série de mises à jour, le logiciel malveillant a progressivement amélioré ses capacités, y compris le chiffrement AES-CBC-256, le stockage des journaux en mémoire, ainsi que le support des fonctionnalités anti-sandbox et anti-VM. De plus, Jester Stealer se supprime après avoir terminé l’opération malveillante permettant aux acteurs de la menace d’éviter la détection.
Détecter le Logiciel Malveillant Jester Stealer
Pour permettre aux praticiens de la sécurité de l’information de détecter à temps les infections causées par Jester Stealer et de détecter de manière proactive les cyberattaques attribuées aux acteurs de la menace UAC-0104, la plateforme de SOC Prime propose un ensemble d’algorithmes de détection dédiés disponibles ci-dessous :
Règles Sigma pour Détecter l’Activité Malveillante Associée au Groupe UAC-0104
Les professionnels de la cybersécurité sont invités à se connecter à la plateforme de SOC Prime avec leur compte actuel ou à s’inscrire pour accéder instantanément au contenu de détection mentionné ci-dessus. Les capacités de la plateforme permettent de rechercher directement les éléments de contenu pertinents en utilisant un tag personnalisé #UAC-0104 associé au collectif de pirates correspondant.
De plus, ce kit de règles peut être utilisé pour rechercher des menaces cybernétiques liées à l’activité malveillante du groupe UAC-0104 en utilisant le Quick Hunt de SOC Prime, rendant la chasse plus simple que jamais.
Contexte MITRE ATT&CK® : Nouvelles Attaques de Phishing par UAC-0104
Pour obtenir des informations sur le comportement des attaquants derrière les dernières attaques UAC-0104 impliquant le logiciel malveillant Jester Stealer, les détections basées sur Sigma mentionnées ci-dessus sont cartographiées dans le cadre MITRE ATT&CK traitant des tactiques et techniques correspondantes.
