Détection des Attaques UAC-0057 : Une Hausse de l’Activité Adverse Distribuant PICASSOLOADER et Cobalt Strike Beacon

[post-views]
juillet 25, 2024 · 4 min de lecture
Détection des Attaques UAC-0057 : Une Hausse de l’Activité Adverse Distribuant PICASSOLOADER et Cobalt Strike Beacon

Les défenseurs ont observé une augmentation soudaine de l’activité de l’adversaire du groupe de hackers UAC-0057 ciblant les agences gouvernementales locales ukrainiennes. Les attaquants distribuent des fichiers malveillants contenant des macros visant à lancer PICASSOLOADER sur les ordinateurs ciblés, ce qui conduit à la livraison de Cobalt Strike Beacon

Détecter l’activité de l’UAC-0057 couverte dans l’alerte CERT-UA#10340

Depuis le début de la guerre à grande échelle, le collectif de hackers UAC-0057 a ciblé à plusieurs reprises les organisations ukrainiennes. Pour détecter la dernière campagne de l’UAC-0057 et analyser rétrospectivement l’activité du groupe, les cyberdéfenseurs peuvent s’appuyer sur la Plateforme SOC Prime pour la défense cybernétique collective, qui offre une suite complète de produits pour l’ingénierie de la détection alimentée par l’IA, la chasse aux menaces automatisée et la validation de la pile de détection. 

En suivant le lien ci-dessous, les professionnels de la sécurité peuvent accéder à la pile de détection complète adressant la dernière activité de l’UAC-0057. Alternativement, les experts peuvent parcourir le Threat Detection Marketplace en filtrant les détections par le tag « CERT-UA#10340 » basé sur l’ID d’alerte. 

Règles Sigma pour la détection des attaques UAC-0057 basées sur l’alerte CERT-UA#10340

Tous les algorithmes de détection sont mappés au cadre MITRE ATT&CK®, enrichis avec des Cyber Threat Intelligence (CTI) exploitables et des métadonnées, et sont prêts à être déployés sur des dizaines de plateformes d’analyse de sécurité cloud-native et sur site. 

Pour obtenir la pile de détection plus large abordant les tactiques, techniques et procédures de l’UAC-0057, les ingénieurs en sécurité peuvent accéder à la collection de règles Sigma correspondante en cliquant sur le bouton Explorer les Détections ci-dessous.

Explorer les Détections

The alerte CERT-UA dédiée fournit également une collection d’IOCs pour identifier les attaques liées à la campagne UAC-0057 la plus récente. En s’appuyant sur l’ Uncoder AI de SOC Prime, les défenseurs peuvent simplifier la correspondance des IOCs en convertissant instantanément les renseignements sur les menaces pertinents en requêtes sur mesure optimisées pour les performances, adaptées au format linguistique du SIEM ou EDR choisi et prêtes à être recherchées dans l’environnement sélectionné.

Analyse de l’attaque UAC-0057

Le groupe UAC-0057, également connu sous le pseudonyme GhostWriter, a lancé de multiples opérations offensives ciblant principalement les organes de l’État ukrainien tout au long de 2023. Par exemple, en septembre 2023, UAC-0057 a lancé une campagne malveillante contre le gouvernement ukrainien et les institutions éducatives, en abusant d’un zero-day WinRAR (CVE-2023-38831) pour livrer PICASSOLOADER. Durant l’été 2023, le groupe a utilisé le même chargeur pour infecter les réseaux ciblés avec njRAT.

En juillet 2024, CERT-UA a observé un pic soudain de l’activité du groupe. Les adversaires ont utilisé des fichiers contenant des macros malveillantes pour se propager PICASSOLOADER and Cobalt Strike Beacon sur les systèmes impactés. 

Selon la dernière alerte CERT-UA sur l’activité de l’UAC-0057, le contenu des fichiers avec macros découverts (« oborona.rar », « 66_oborona_PURGED.xls », « trix.xls », « equipment_survey_regions_.xls », « accounts.xls », « spreadsheet.xls », « attachment.xls », « Podatok_2024.xls ») est lié à la réforme gouvernementale locale, à la fiscalité et aux indicateurs financiers-économiques.

Selon la recherche CERT-UA, UAC-0057 a pu cibler à la fois des spécialistes des bureaux de projet et leurs homologues parmi les employés des autorités gouvernementales locales pertinentes en Ukraine.

Contexte MITRE ATT&CK

Exploiter MITRE ATT&CK offre une visibilité étendue sur les schémas de comportement liés à la dernière activité malveillante de l’UAC-0057 ciblant les agences gouvernementales locales ukrainiennes. Explorez le tableau ci-dessous pour voir la liste complète des règles Sigma dédiées abordant les tactiques, techniques et sous-techniques correspondantes à ATT&CK.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection des attaques UAC-0226 : Nouvelle campagne de cyber-espionnage visant les centres d’innovation ukrainiens et les entités gouvernementales avec le voleur GIFTEDCROOK
Blog, Dernières Menaces — 6 min de lecture
Détection des attaques UAC-0226 : Nouvelle campagne de cyber-espionnage visant les centres d’innovation ukrainiens et les entités gouvernementales avec le voleur GIFTEDCROOK
Veronika Telychko
Détection des Attaques UAC-0219 : Une Nouvelle Campagne de Cyberespionnage Utilisant un Stealer PowerShell WRECKSTEEL
Blog, Dernières Menaces — 4 min de lecture
Détection des Attaques UAC-0219 : Une Nouvelle Campagne de Cyberespionnage Utilisant un Stealer PowerShell WRECKSTEEL
Veronika Telychko
Détection des attaques UAC-0200 : Activité de cyber-espionnage ciblant le secteur de l’industrie de la défense et les forces armées de l’Ukraine utilisant le RAT DarkCrystal
Blog, Dernières Menaces — 4 min de lecture
Détection des attaques UAC-0200 : Activité de cyber-espionnage ciblant le secteur de l’industrie de la défense et les forces armées de l’Ukraine utilisant le RAT DarkCrystal
Veronika Telychko