Les acteurs menaçants exploitent des e-mails de spear-phishing imitant le service UKR.NET pour l’espionnage

Cet article met en avant la recherche originale fournie par CERT-UA : https://cert.gov.ua/article/37788 

Le 16 mars 2022, l’équipe d’intervention d’urgence informatique d’Ukraine CERT-UA a identifié une campagne de spear-phishing visant à infecter les organisations ukrainiennes avec un logiciel malveillant d’espionnage informatique. Avec un faible niveau de confiance, compte tenu des tactiques utilisées, CERT-UA associe l’activité identifiée à l’un des principaux collectifs APT28 soutenus par la Russie (UAC-0028). Le spear-phishing est le principal vecteur d’attaques d’APT28 depuis au moins juin 2021. Les prochaines étapes des adversaires incluent soit l’exfiltration de données, soit l’utilisation des e-mails compromis pour d’autres attaques de spear-phishing sur des cibles précises.

Campagne de Spear-Phishing Infectant les Organisations Ukrainiennes Avec un Logiciel Espion : Enquête de CERT-UA

L’enquête de CERT-UA révèle une campagne de spear-phishing distribuant des e-mails qui imitent des messages de UKR.NET et contiennent un code QR avec une URL encodée créée à l’aide de l’un des services de raccourcissement d’URLs. Lors de l’ouverture de cette URL, une victime est redirigée vers un site Web qui tente de simuler la page de réinitialisation du mot de passe de UKR.NET. Les données saisies par l’utilisateur via une requête HTTP POST sont envoyées à une ressource web déployée par les attaquants sur la plateforme Pipedream.

Graphiques fournis par CERT-UA illustrant la campagne de spear-phishing visant à livrer un logiciel espion

Indicateurs Globaux de Compromission (IOC)

hxxps://tinyurl[.]com/2p8kpb9v
hxxps://panelunregistertle-348.frge[.]io/
hxxps://eoy7zvsvn6xfcmy.m.pipedream[.]net
hxxps://eo9p1d2bfmioiot.m.pipedream[.]net/?usr=
hxxps://eoiw8lhjwuc3sh2.m.pipedream[.]net
panelunregistertle-348.frge[.]io
eo9p1d2bfmioiot.m.pipedream[.]net
eoiw8lhjwuc3sh2.m.pipedream[.]net
frge[.]io (2021-04-21)
pipedream[.]net (site web légitime)

Requêtes de Chasse Basées sur les IOC pour Détecter le Phishing Attiré par UKR.NET

Pour permettre aux professionnels de la sécurité de convertir automatiquement les IOC mentionnés ci-dessus en requêtes de chasse personnalisées prêtes à fonctionner dans près de 20 environnements SIEM ou XDR les plus populaires, la plateforme SOC Prime propose l’outil Uncoder CTI — maintenant disponible gratuitement pour tous les utilisateurs enregistrés jusqu’au 25 mai 2022.

Restez à l’avant-garde des menaces cybernétiques en constante mutation et ne laissez pas les attaquants compromettre les comptes de vos organisations et les exploiter à des fins malveillantes. Une approche collaborative de la défense cybernétique permet de rationaliser le contenu de détection de menaces le plus récent et le plus précis. Inscrivez-vous pour la plateforme Detection as Code de SOC Prime dès maintenant pour accéder à 23 000 règles de détection sélectionnées visant à améliorer votre défense cybernétique.

Face à l’escalade des menaces cybernétiques russes, SOC Prime fournit plus de 2 000 règles Sigma pour identifier d’éventuelles cyberattaques d’origine russe contre votre infrastructure. Notamment, toutes ces détections sont actuellement disponibles gratuitement dans le cadre de la dernière promotion Quick Hunt par SOC Prime. Il suffit de rechercher sur notre plateforme Detection as Code avec #stopwar, #stoprussian, et #stoprussianagression tags et commencez à chasser immédiatement avec le module Quick Hunt. Vous pouvez en savoir plus sur la promotion Quick Hunt dans notre article dédié.