Détection de PicassoLoader et njRAT : Les pirates UAC-0057 mènent une attaque ciblée contre des entités publiques ukrainiennes

Les chercheurs en cybersécurité émettent un avertissement couvrant une nouvelle attaque cybernétique ciblée par le groupe UAC-0057 contre des responsables publics ukrainiens utilisant des fichiers XLS contenant une macro malveillante qui propage PicassoLoader un logiciel malveillant. Le chargeur malveillant est capable de déposer une autre souche malveillante surnommée njRAT pour étendre davantage l’infection.

Distribution de logiciels malveillants PicassoLoader et njRAT par les hackers UAC-0057 : Description de l’attaque

Le 7 juillet 2023, les chercheurs du CERT-UA ont découvert quelques documents XLS, l’un contenant une macro légitime, tandis que l’autre comprenait une macro malveillante utilisée par les pirates au stade initial de l’attaque. Ce dernier visait à décoder, déchiffrer, maintenir la persistance et exécuter le logiciel malveillant PicassoLoader sur les systèmes ciblés. Les attaquants ont également utilisé PicassoLoader pour télécharger, déchiffrer et exécuter l’utilitaire d’accès à distance njRAT.

La dernière attaque peut être liée au groupe UAC-0057 également identifié comme GhostWriter, qui a été derrière la campagne d’adversaires de juin contre l’une des universités ukrainiennes répandant PicassoLoader et Cobalt Strike Beacon. Dans l’opération offensive en cours couverte dans le alerte CERT-UA#6948, les attaquants UAC-0057 ciblent également les autorités publiques ukrainiennes.

L’enquête a révélé que le logiciel malveillant PicassoLoader ne sera pas déployé par les pirates si le système est protégé par les produits Avast, FireEye, et Fortinet.

Détection des attaques UAC-0057 utilisant PicassoLoader et njRAT

Pour équiper les équipes de sécurité avec des algorithmes de détection pertinents pour repérer de manière proactive les dernières cyberattaques UAC-0057 contre l’Ukraine, la plate-forme SOC Prime pour la défense cybernétique collective agrège un lot de règles Sigma. Les utilisateurs peuvent obtenir cette pile de détection des menaces en appuyant sur le bouton Explore Detections ci-dessous ou en appliquant les balises personnalisées pertinentes “CERT-UA#6948” et “UAC-0057” associées à l’avertissement de sécurité et aux identificateurs de l’acteur de menace.

Toutes les règles sont cartographiées dans le cadre de travail MITRE ATT&CK® v12, accompagnées de renseignements sur les menaces étendus, et compatibles avec 28+ technologies SIEM, EDR, et XDR pour répondre aux besoins spécifiques de cybersécurité des organisations.

Explore Detections

Pour des chasses rationalisées, les équipes peuvent rechercher les IOCs liés au collectif UAC-0057 avec l’aide de Uncoder AI. Il suffit de copier-coller les IOCs listés par CERT-UA dans la dernière alerte dans Uncoder AI et de choisir le type de contenu ciblé pour construire de manière transparente une requête IOC personnalisée correspondant à votre pile technologique et à vos besoins de sécurité actuels.

Contexte MITRE ATT&CK

Pour passer en revue un contexte plus large lié à l’opération UAC-0057 la plus récente couverte dans l’alerte CERT-UA#6948, toutes les règles Sigma associées sont alignées avec ATT&CK v12 abordant les TTP de l’adversaire pertinent :