Détection d’Attaque du Trident Ursa aka Gamaredon APT : Des Hackers Soutenus par la Russie Intensifient Leur Activité Offensive en Ciblant une Raffinerie de Pétrole dans un Pays de l’OTAN

Depuis l’invasion à grande échelle de l’Ukraine par la Russie en février 2022, le tristement célèbre groupe de hackers affilié à la Russie, Trident Ursa, également suivi sous le nom de Armageddon APT aka Gamaredon ou UAC-0010, a lancé ses opérations offensives ciblant l’Ukraine et ses alliés. Pendant plus de dix mois, le collectif de hackers a réalisé une série de cyberattaques par hameçonnage couvertes dans les alertes CERT-UA correspondantes et escalate continuellement son activité malveillante.

Les chercheurs en cybersécurité gardent un œil attentif sur les opérations offensives du groupe UAC-0010, qui reste l’un des APT les plus intrusifs et ciblés sur l’Ukraine et ses alliés en première ligne de la cybersécurité. Avec Trident Ursa tentant de cibler une grande société de raffinage de pétrole dans un pays de l’OTAN, les défenseurs du cyberespace doivent être armés de capacités défensives proactives pour identifier à temps l’intrusion.

Détecter l’activité de l’adversaire Trident Ursa (UAC-0010)

L’activité malveillante du groupe cyber-espionnage soutenu par la Russie, principalement connu sous le nom d’Armageddon APT, Gamaredon ou Trident Ursa, est actuellement en hausse dans le paysage des menaces cybernétiques. La plateforme Detection as Code de SOC Prime est conçue pour aider les défenseurs du monde entier à contrecarrer proactivement les attaques et aider toute la communauté à obtenir un avantage concurrentiel dans la guerre cybernétique en cours. SOC Prime lutte sur le front cybernétique de la guerre pour aider l’Ukraine et ses alliés à protéger le pays contre l’agression russe tout en améliorant les capacités défensives avec les technologies Sigma et MITRE ATT&CK.® technologies.

Pour aider les organisations à identifier à temps l’activité offensive de Trident Ursa, la plateforme SOC Prime a publié un ensemble de règles Sigma dédiées développées par nos contributeurs de contenu Threat Bounty, Wirapong Petshagun and Kaan Yeniyol. Suivez le lien ci-dessous pour atteindre immédiatement ces algorithmes mappés au dernier cadre MITRE ATT&CK v12 et plonger dans leur contexte de menace cybernétique :

Règles Sigma pour détecter la dernière activité malveillante de Trident Ursa

La règle Sigma par Wirapong Petshagun traite de la tactique de Commandement et Contrôle avec le Protocole de couche application (T1071) utilisé comme technique principale, tandis que l’algorithme de détection élaboré par Kaan Yeniyol traite de la tactique d’Exécution et de la technique correspondante de Tâche/Emploi planifié (T1053).

La plateforme SOC Prime organise également une autre règle Sigma pour détecter les dernières campagnes malveillantes de Gamaredon APT alias UAC-0010. Cette détection, écrite par notre prolifique développeur Threat Bounty, Kyaw Pyiyt Htet (Mik0yan) traite des tactiques de Persistance et Évasion Défensive représentées par les techniques correspondantes d’Exécution de l’auto-démarrage au démarrage ou à la connexion (T1547) et de Modification du Registre (T1112) ATT&CK.

Toutes les règles Sigma ci-dessus peuvent être utilisées sur plus de 15 solutions SIEM, EDR, XDR et plateformes d’analyse de données.

Vous efforcez-vous de maîtriser vos compétences en Sigma et ATT&CK tout en contribuant à un avenir plus sûr ? Rejoignez le programme Threat Bounty, qui permet aux auteurs de contenu en herbe de coder un futur CV, d’affiner les compétences professionnelles grâce à l’expertise partagée et de monétiser leur contenu de détection.

Pour accéder à la liste complète des règles Sigma pour la détection de l’activité des adversaires UAC-0010, cliquez sur le bouton Explorer les Détections ci-dessous. Les ingénieurs en sécurité peuvent consulter les algorithmes de détection pertinents filtrés par le tag personnalisé « UAC-0010 » et explorer les métadonnées, telles que le contexte ATT&CK, les liens CTI, les binaires, et plus.

Explorer les Détections

Depuis le début de la guerre à grande échelle en Ukraine, le pays subit des cyberattaques constantes par le groupe de hackers affilié à la Russie connu des défenseurs du cyberespace sous divers pseudonymes, notamment Armageddon APT, Gamaredon, Trident Ursa, Shuckworm, UAC-0010, et Primitive Bear. Selon le Service de sécurité de l’Ukraine, le collectif de hackers est lié au Service fédéral de sécurité de la Russie et vise à lancer des activités de renseignement et de subversion contre l’Ukraine et les alliés de l’OTAN dans le domaine cybernétique.

Le groupe APT a activement exploité le vecteur d’attaque par hameçonnage. Les chercheurs en cybersécurité de CERT-UA s’efforcent constamment d’attirer l’attention des défenseurs du cyberespace sur l’activité malveillante croissante de ce groupe qu’ils identifient comme UAC-0010. Les acteurs de la menace ont lancé une vague de cyberattaques par hameçonnage principalement ciblées sur les organismes d’État ukrainiens en avril et mai, où ils ont tiré parti du malware GammaLoad.PS1 et de sa version améliorée, GammaLoad.PS1_v2. En août 2022, ils ont utilisé les payloads GammaLoad et GammaSteel pour infecter les systèmes compromis dans une autre campagne de hameçonnage. Dans une attaque plus récente en to infect the compromised systems in another phishing campaign. In a more recent novembre, le collectif de hackers a été observé diffusant massivement des emails usurpés avec l’expéditeur déguisé comme le Service des communications spéciales de l’État de l’Ukraine exploitant une pièce jointe malveillante avec un fichier HTML qui a déclenché une chaîne d’infection.

Le dernier rapport de Palo Alto Networks Unit 42 offre un aperçu des menaces croissantes attribuées à l’activité ennemie de Trident Ursa. Sur la base de leurs recherches, l’équipe de Unit 42 a élargi son champ d’attaques au-delà de l’Ukraine. À la fin septembre 2022, les acteurs de la menace ont tenté sans succès de compromettre une grande société de raffinage de pétrole dans un pays appartenant aux membres de l’OTAN, escaladant ainsi un conflit sur le front cybernétique.

Le groupe de hackers affilié à la Russie pose des défis redoutables aux forces défensives, améliorant continuellement leurs TTPs ennemis et perfectionnant les techniques d’évasion de détection. Par exemple, les acteurs de la menace appliquent la technique DNS fast flux pour amplifier la résilience de leurs opérations malveillantes et entraver les procédures d’analyse anti-malware. D’autres techniques ennemies utilisées par Trident Ursa incluent le contournement du DNS via des services web légitimes et Telegram Messenger ainsi que la dissimulation des véritables assignations IP en utilisant des sous-domaines pour leurs opérations malveillantes plutôt que des domaines racine.

Trident Ursa applique couramment un ensemble de méthodes adversaires multiples pour compromettre initialement les systèmes ciblés via le code VBScript et livre fréquemment du contenu malveillant via des pièces jointes de fichiers HTML utilisées comme appâts de hameçonnage.

En tant que mesures d’atténuation potentielles, Unit 42 recommande de mettre en œuvre une solution de sécurité DNS fiable et de surveiller attentivement tout le trafic réseau communiquant avec AS 197695.

Trident Ursa alias Gamaredon APT est un collectif de hackers adaptatif élargissant continuellement son outil d’attaque ennemi, tirant parti des nouvelles techniques d’obfuscation et profitant de nouveaux domaines, ce qui reste une menace pour l’Ukraine et ses alliés. Pour résister de manière proactive aux capacités offensives, explorez notre moteur de recherche de règles Sigma et armez-vous des détections les plus pertinentes contre les menaces actuelles et émergentes ainsi que des renseignements approfondis sur les menaces cybernétiques.