Détection de Malware Metasploit Meterpreter : Nouvelle Cyberattaque de Phishing sur les Entités Gouvernementales Ukrainiennes Liée aux Groupes UAC-0098 et TrickBot
Table des matières :
Le 28 avril 2022, le CERT-UA a publié un avertissement notifiant du dernier cyber-attaque de phishing sur les entités gouvernementales ukrainiennes utilisant le framework Metasploit. L’activité malveillante peut être attribuée aux comportements adverses d’un groupe suivi sous le nom de UAC-0098. De plus, cette attaque récente est considérée comme étant liée à l’activité du collectif de hackers TrickBot , un infâme gang de ransomware lié à la Russie connu pour opérer des botnets sophistiqués et collaborant avec des acteurs de menace avancés, comme FIN6 and Ryuk, dans des campagnes malveillantes ciblées conçues pour la distribution de logiciel malveillant.
Qu’est-ce que le payload Meterpreter de Metasploit : Analyse de Cyber-Attaque
Metasploit est un framework open-source pour créer un environnement de test d’intrusion afin de développer, tester et exécuter des exploits. C’est un outil largement adopté et puissant utilisé à la fois par les acteurs de menace et les hackers éthiques pour sonder les vulnérabilités sur les réseaux et serveurs d’intérêt. Le framework Metasploit offre une variété d’outils et de fonctionnalités pour les tests d’intrusion, y compris un Meterpreter bien connu.
Le malware Meterpreter livré lors de la dernière cyber-attaque sur les organismes d’État ukrainiens est une charge utile sophistiquée qui utilise des communications chiffrées, s’injecte dans le processus compromis, et peut migrer facilement sur les réseaux, rendant la distribution de l’infection plus facile et laissant des preuves forensiques insuffisantes.
Le 28 avril 2022, le CERT-UA a publié une alerte concernant une campagne de phishing utilisant un appât sur le thème de la guerre et distribuant des fichiers ISO malveillants. En particulier, les acteurs de menace ont diffusé de faux fichiers de Décret du Président de l’Ukraine qui contenaient un fichier leur DOCX, un fichier raccourci LNK, un script PowerShell et un fichier exécutable. Une fois lancé, le fichier LNK déclenche la chaîne d’infection en exécutant un script PowerShell, qui à son tour, ouvre un fichier DOCX, puis exécute un fichier EXE. En conséquence, l’ordinateur de la victime est infecté par le malware Meterpreter.
L’investigation du CERT-UA attribue la campagne aux groupes UAC-0098 et TrickBot soutenus par la Russie, selon les similitudes observées dans les comportements malveillants.
Règles Sigma pour détecter la campagne de UAC-0098 et Trickbot
Pour protéger l’infrastructure de l’organisation contre les cyber-attaques de phishing par les hackers UAC-0098, y compris la dernière campagne utilisant le Metasploit Meterpreter, l’équipe SOC Prime a fourni un ensemble de règles Sigma dédiées :
Règles Sigma pour détecter l’activité malveillante du groupe UAC-0098
Inscrivez-vous sur la plateforme Detection as Code de SOC Prime pour accéder à tout le contenu via un lien ci-dessus ou effectuer une recherche personnalisée en utilisant le tag #UAC-0098 correspondant.
Les praticiens de la sécurité peuvent également rechercher des menaces liées à l’activité malveillante de UAC-0098 en utilisant le contenu de détection mentionné ci-dessus via le module Quick Hunt.
Contexte MITRE ATT&CK®
Pour plonger dans le contexte de la dernière attaque de phishing des groupes UAC-0098 et TrickBot visant les organismes d’État ukrainiens avec le Metasploit Meterpreter, toutes les règles Sigma pertinentes sont alignées avec le cadre MITRE ATT&CK abordant les tactiques et techniques correspondantes :
Tactics | Techniques | Sigma Rules |
Initial Access | Phishing (T1566) | |
Defense Evasion | Subvert Trust Controls (T1553) | |
Signed Binary Proxy Execution (T1218) | ||
Masquerading (T1036) | ||
Execution | Command and Scripting Interpreter (T1059) |
