DĂ©tection de MEDUZASTEALER : Les hackers distribuent des logiciels malveillants en faisant passer l’expĂ©diteur pour le support technique de Reserve+ via le service de messagerie Telegram
Table des matières :
Dans la foulĂ©e d’une nouvelle vague de cyberattaques par UAC-0050 impliquant de l’espionnage informatique et des vols financiers et s’appuyant sur un nombre diversifiĂ© d’outils, y compris MEDUZASTEALER, une autre activitĂ© suspecte attire l’attention dans l’arène des cybermenaces ukrainiennes. CERT-UA a rĂ©cemment lancĂ© une nouvelle alerte couvrant des attaques de phishing usurpĂ©es diffusant MEDUZASTEALER via Telegram et se faisant passer pour le support technique de « Reserve+ », l’application du Ministère de la DĂ©fense de l’Ukraine.
DĂ©tecter les infections MEDUZASTEALER couvertes dans l’alerte CERT-UA#11603
Pour rester au courant des intrusions possibles et se dĂ©fendre proactivement contre de nouvelles TTP malveillantes, la Plateforme SOC Prime pour la dĂ©fense cyber collective propose un ensemble de règles Sigma dĂ©diĂ© aux attaques MEDUZASTEALER. Fiez-vous Ă la suite complète de produits SOC Prime pour une dĂ©tection avancĂ©e des menaces, une chasse automatisĂ©e des menaces et une ingĂ©nierie de dĂ©tection alimentĂ©e par l’IA pour repĂ©rer les intrusions potentielles dès les premières Ă©tapes.
Pour plonger dans un ensemble de détection sur mesure, appuyez sur le Explorer les Détections bouton ci-dessous. Toutes les règles Sigma sont mappées au cadre MITRE ATT&CK®, enrichi avec des renseignements personnalisés, et convertible en plus de 30 formats de langage SIEM, EDR et Data Lake.
Les dĂ©fenseurs informatiques peuvent renforcer davantage leurs dĂ©fenses contre les cyberattaques liĂ©es Ă l’activitĂ© adverse mentionnĂ©e en exploitant le contenu de dĂ©tection supplĂ©mentaire disponible sur la Plateforme SOC Prime. Pour analyser rĂ©troactivement les attaques UAC-0050, appliquez le tag «CERT-UA#11603» basĂ© sur l’identifiant du rapport CERT-UA correspondant ou filtrez le contenu avec «MEDUZASTEALER» pour une recherche plus ciblĂ©e.
Les ingĂ©nieurs en sĂ©curitĂ© peuvent Ă©galement tirer parti de Uncoder AI pour accĂ©lĂ©rer l’emballage des IOC et la chasse rĂ©troactive aux menaces liĂ©es Ă MEDUZASTEALER en utilisant les IOC de l’alerte CERT-UA#11603 en les convertissant instantanĂ©ment en requĂŞtes personnalisĂ©es correspondant Ă des langues spĂ©cifiques SIEM, EDR et Data Lake.
Description du Malware MEDUZASTEALER
CERT-UA a rĂ©cemment Ă©mis une nouvelle alerte CERT-UA#11603 notifiant les dĂ©fenseurs informatiques d’attaques en cours distribuant MEDUZASTEALER. Le 15 octobre 2024, CERT-UA a reçu des informations concernant la distribution de messages suspects via le compte Telegram @reserveplusbot, qui avait Ă©tĂ© identifiĂ© en mai 2024 comme l’une des mĂ©thodes de contact pour l’Ă©quipe de support technique de « Reserve+ ».
Notamment, à la fin décembre 2023, le néfaste groupe UAC-0050 a attaqué les institutions gouvernementales ukrainiennes et polonaises, utilisant MEDUZASTEALER en plus de Remcos RAT.
Dans les dernières attaques, les messages malveillants incitent les utilisateurs ciblĂ©s Ă installer un « logiciel spĂ©cial » et contiennent une archive nommĂ©e « RESERVPLUS.zip ». L’archive ZIP distribuĂ©e contient un fichier exĂ©cutable qui, une fois exĂ©cutĂ©, tĂ©lĂ©charge un autre fichier, « install.exe ». Ce dernier infecte l’ordinateur avec le logiciel malveillant MEDUZASTEALER.
Selon son fichier de configuration, le voleur Ă©tait configurĂ© pour exfiltrer des fichiers avec les extensions « .txt, .doc, .docx, .pdf, .xls, .xlsx, .log, .db, .sqlite » puis se supprimer. Pour contourner les logiciels de sĂ©curitĂ©, le rĂ©pertoire oĂą le logiciel malveillant Ă©tait stockĂ© a Ă©tĂ© ajoutĂ© Ă la liste des exclusions de Microsoft Defender Ă l’aide d’une commande PowerShell.
Pour garder une longueur d’avance sur les attaquants et minimiser les risques d’infections MEDUZASTEALER, les organisations peuvent se fier Ă la suite complète de produits de SOC Prime pour l’ingĂ©nierie de dĂ©tection alimentĂ©e par l’IA, la chasse automatisĂ©e des menaces et la dĂ©tection avancĂ©e des menaces, tout en consolidant une posture de cybersĂ©curitĂ© Ă l’Ă©preuve du temps.
Contexte MITRE ATT&CK
Exploiter MITRE ATT&CK offre un aperçu dĂ©taillĂ© du contexte des dernières opĂ©rations offensives utilisant le logiciel malveillant MEDUZASTEALER. Reportez-vous au tableau ci-dessous pour voir l’ensemble complet des règles Sigma dĂ©diĂ©es abordant les tactiques, techniques et sous-techniques ATT&CK correspondantes.
