Détection de SmokeLoader : le groupe UAC-0006 lance une nouvelle campagne de phishing contre l’Ukraine

Attention ! Les cyberdéfenseurs sont informés d’une nouvelle vague d’attaques de phishing exploitant les sujets d’e-mails relatifs aux factures, avec une chaîne d’infection déclenchée par l’ouverture d’un fichier VBS malveillant, qui se propage le malware SmokeLoader sur les appareils affectés. Selon l’enquête, l’activité malveillante peut être attribuée au groupe de hackers motivés par l’argent UAC-0006 qui a été observé lors d’attaques précédentes contre l’Ukraine utilisant également les mêmes souches malveillantes et le vecteur d’attaque par phishing.

Analyse des opérations offensives d’UAC-0006 répandant le malware SmokeLoader

Un peu plus d’un mois après les attaques de phishing par les hackers motivés financièrement d’UAC-0006 ciblant l’Ukraine, les chercheurs de CERT-UA ont révélé another campaign abusing financial subject lures et distribuant également le malware SmokeLoader. Les hackers ont massivement diffusé des e-mails avec des sujets liés aux factures et des pièces jointes contenant un fichier VBS destiné à être installé et exécuté le malware SmokeLoader sur les appareils impactés.

Dans cette campagne couverte par la nouvelle alerte CERT-UA#6999, le fichier de configuration du malware contient 45 noms de domaine, dont 5 utilisent l’enregistrement A et sont liés au fournisseur russe. Pour maintenir la persistance, l’itération du malware utilisée dans ces attaques est capable de définir les enregistrements A actuels pour les noms de domaine en se connectant au serveur DNS correspondant. Les adversaires UAC-0006 utilisent les comptes email compromis de manière similaire à leurs comportements observés dans les campagnes précédentes contre l’Ukraine.

Comme mesures d’atténuation potentielles, les défenseurs recommandent de restreindre l’utilisation de Windows Script Host et PowerShell pour minimiser la menace.

Détection de l’activité UAC-0006 couverte par l’alerte CERT-UA#6999

Les volumes croissants des opérations offensives liées à UAC-0006 exigent une ultra-réactivité des cyberdéfenseurs pour contrecarrer en temps voulu les attaques liées. La plateforme SOC Prime pour la défense cyber collective offre des règles Sigma triées pour aider les organisations à se défendre de manière proactive contre les attaques du groupe distribuant massivement SmokeLoader et à identifier en temps opportun les TTPs pertinents de l’adversaire.

Cliquez sur Explorer les détections ci-dessous pour obtenir la liste complète des règles Sigma pour la détection des attaques UAC-0006 mentionnées dans l’alerte CERT-UA#6999. Pour accélérer la recherche de contenu SOC, appliquez les tags pertinents « UAC-0006 » ou « CERT-UA#6999 ». Tous les algorithmes de détection sont enrichis par le contexte des menaces cybernétiques et peuvent être automatiquement convertis en plusieurs formats linguistiques utilisés.

Explorer les détections

Les ingénieurs en sécurité peuvent également tirer parti de Uncoder AI pour rechercher instantanément les IOC listés dans l’ alerte CERT-UA#6999 en créant des requêtes IOC personnalisées et les exécutant en direct dans l’environnement sélectionné.

Contexte MITRE ATT&CK

Les cyberdéfenseurs peuvent également obtenir des informations sur le contexte des attaques de phishing par UAC-0006 plus en détail en explorant le tableau ci-dessous, qui fournit la liste des tactiques et techniques adverses pertinentes selon ATT&CK :