Les acteurs de menace UAC-0056 livrent le malware Cobalt Strike Beacon dans une nouvelle campagne de phishing contre l’Ukraine
Table des matières :
Sur les talons de la cyber-attaque du 5 juillet ciblant les organismes étatiques ukrainiens et attribuée au célèbre collectif de pirates informatiques UAC-0056, une autre campagne malveillante lancée par ce groupe fait sensation dans le domaine cybernétique. Le 11 juillet 2022, les chercheurs en cybersécurité de CERT-UA ont averti la communauté mondiale d’une attaque de phishing en cours utilisant un sujet d’appât et une pièce jointe malveillante liée au thème de la guerre en Ukraine. Dans cette dernière cyber-attaque, les acteurs de la menace utilisent à nouveau le vecteur d’attaque par e-mail de phishing pour distribuer le malware Cobalt Strike Beacon. Cette fois, les e-mails malveillants sont diffusés à partir des comptes e-mails compromis des entités gouvernementales ukrainiennes.
Détection d’attaque du groupe UAC-0056 : Règles Sigma pour identifier rapidement l’activité malveillante
Pour aider les professionnels de la cybersécurité à identifier rapidement l’activité malveillante du groupe de hackers UAC-0056 liée aux dernières campagnes d’e-mails ciblant l’Ukraine, la plateforme de SOC Prime propose un ensemble d’algorithmes de détection sélectionnés disponibles via un lien ci-dessous :
Règles Sigma pour repérer l’activité malveillante des acteurs de la menace UAC-0056
Veuillez noter que seuls les utilisateurs enregistrés de SOC Prime peuvent accéder aux règles Sigma mentionnées ci-dessus ainsi qu’à leurs traductions dans divers formats SIEM, EDR, et XDR.
Pour faciliter et accélérer la recherche du contenu de détection pertinent, toutes les règles basées sur Sigma sont étiquetées en conséquence comme #UAC-0056 en fonction de l’activité de l’adversaire associée. En outre, le contenu de détection est aligné avec le cadre MITRE ATT&CK® adressant les tactiques et techniques de l’adversaire correspondant pour assurer une visibilité complète dans le contexte des cyber-attaques associées. Veuillez vous référer à notre article de blog précédent sur la campagne par e-mail du UAC-0056 ciblant les responsables ukrainiens pour approfondir le contexte de la menace basé sur ATT&CK.
Les praticiens de la cybersécurité inscrits sur la plateforme de SOC Prime peuvent également explorer la liste complète des règles Sigma pour détecter le malware Cobalt Strike Beacon en cliquant sur le bouton Détecter & Chasser ci-dessous. De plus, SOC Prime propose le premier outil de moteur de recherche de l’industrie permettant aux équipes de sécurité de parcourir un certain CVE, un malware, un APT, ou une exploitation et d’obtenir instantanément la liste des règles Sigma associées, accompagnée d’un contexte de menace éclairant, comme des références MITRE ATT&CK, des liens CTI, des binaires exécutables Windows liés aux détections, et plus de métadonnées exploitables. Cliquez sur le bouton Explorer le contexte de la menace pour trouver tous les résultats de recherche pertinents pour Cobalt Strike Beacon même sans processus d’inscription.
Détecter & Chasser Explorer le contexte de la menace
Livraison de malware Cobalt Strike Beacon : Aperçu d’une nouvelle attaque par UAC-0056 contre les responsables ukrainiens
L’alerte la plus récente CERT-UA#4941 met en garde contre la distribution massive d’e-mails malveillants avec un sujet lié à la crise humanitaire en Ukraine induite par la guerre à grande échelle en cours qui a éclaté le 24 février. Les e-mails en question comportent un document XLS en pièce jointe avec un nom de fichier-appât similaire trompant les victimes potentielles pour l’ouvrir. Ce dernier contient une macro malveillante, qui, si ouverte, lance un fichier exécutable “baseupd.exe”, qui à son tour, peut conduire à déposer Cobalt Strike Beacon sur les systèmes ciblés.
Notamment, la dernière cyber-attaque présente un certain nombre de similitudes avec la campagne malveillante précédente ciblant les organismes étatiques ukrainiens, y compris la souche de malware choisie pour diffuser l’infection et les cyber-délinquants qui sont derrière cette campagne d’e-mails. Basée sur les TTP de l’adversaire, la cyber-attaque est également attribuée au groupe de hackers UAC-0056 aussi connu sous le nom de SaintBear.
L’activité malveillante des acteurs de la menace UAC-0056 ciblant l’Ukraine possède une histoire remontant à la campagne de phishing de mars 2022 répandant des échantillons de malwares Cobalt Strike Beacon, GrimPlant et GraphSteel. De plus, ces acteurs de la menace sont également liés à la cyber-attaque destructrice sur l’Ukraine exploitant le malware d’effacement de données WhisperGate .
Il est fortement recommandé d’appliquer l’authentification à plusieurs facteurs en tant que couche supplémentaire de sécurité des e-mails permettant aux organisations de garantir une meilleure protection contre les cyber-attaques exploitant le vecteur d’attaque par e-mail.
Inscrivez-vous sur la plateforme Detection as Code de SOC Prime pour trouver une solution tout-en-un pour aider votre équipe à aborder sans difficulté la complexité des menaces et les enjeux de qualité des données soutenus par la puissance de la défense cyber collaborative. À la recherche de nouvelles façons d’améliorer vos compétences en Threat Hunting et en ingénierie de détection ? Rejoignez le Programme Bounty de menaces pour transformer vos compétences en bénéfices financiers récurrents avec des opportunités prolifiques de reconnaissance parmi les pairs de l’industrie et de développement personnel. Créez des règles Sigma et YARA, partagez-les avec la communauté et monétisez vos efforts de détection avec l’initiative participative de SOC Prime.
