Malware Info-Stealer AgentTesla distribuito negli attacchi informatici contro enti governativi ucraini

[post-views]
Luglio 20, 2022 · 4 min di lettura
Malware Info-Stealer AgentTesla distribuito negli attacchi informatici contro enti governativi ucraini

A causa della guerra cibernetica globale alimentata dall’invasione su larga scala dell’Ucraina da parte della Russia, gli attacchi nel dominio cibernetico contro le entità governative ucraine sono in costante aumento. Una settimana dopo la campagna di phishing del gruppo UAC-0056 che distribuiva Cobalt Strike Beacon, un altro attacco informatico mirato ai funzionari ucraini usando malware di furto informazioni entra in scena.  

Il 20 luglio 2022, CERT-UA ha emesso un avviso avvertendo i difensori cibernetici di un attacco informatico in corso contro le entità governative ucraine abusando del tema legato alla guerra e diffondendo un RAT noto come AgentTesla (scritto anche come Agent Tesla). La catena di infezione viene avviata da un file dannoso che contiene una miniatura-esca correlata al Comando Operativo Sud (OC South). Come risultato dell’operazione dannosa, i computer compromessi possono essere infettati dal malware AgentTesla. 

Cos’è lo Spyware AgentTesla: Analisi dell’Ultimo Attacco Cibernetico in Ucraina

Durante la continua guerra cibernetica contro l’Ucraina, gli avversari hanno già applicato ceppi di malware di furto informazioni, come nella campagna dannosa di aprile 2022 che distribuiva IcedID Trojan. Quell’attacco informatico è stato attribuito all’attività avversaria del collettivo hacker UAC-0041, che è stato anche collegato alla distribuzione di Trojan spyware AgentTesla in precedenti operazioni dannose contro l’Ucraina.

Secondo l’indagine di CERT-UA, l’ultimo attacco informatico che mira alle istituzioni governative ucraine coinvolge anche la distribuzione di campioni di AgentTesla. Questo notorio RAT è emerso nella scena delle minacce cibernetiche nel 2014 e da allora si è costantemente evoluto per utilizzare varie tecniche avanzate per eludere il rilevamento. AgentTesla è comunemente distribuito tramite il vettore di attacco di phishing ed è in grado di rubare credenziali da browser web e diversi programmi software come Microsoft Outlook. 

Nella campagna avversaria più recente, l’informatore AgentTesla è stato distribuito tramite un file PPT che attiva una macro dannosa che infetta ulteriormente il sistema mirato. Il file PPT contiene una miniatura-esca JPEG correlata al tema della guerra Russia-Ucraina, che fornisce un riferimento a OC South, una formazione delle Forze Terrestri Ucraine nella parte meridionale dell’Ucraina. Una volta aperto e attivata una macro, quest’ultima crea e lancia sia un file collegamento LNK che uno eseguibile. Il file EXE è un programma basato su NET, che applica lo strumento di offuscamento ConfuserEx, scarica un file JPEG, decodifica e decomprime i dati, e alla fine esegue l’informatore AgentTesla sul sistema compromesso.

Rileva Attività Dannosa Coperta dall’Avviso CERT-UA#4987

Per aiutare le organizzazioni a proteggersi dallo spyware Trojan AgentTesla distribuito nell’attacco informatico più recente contro gli organi statali ucraini, la piattaforma di Detection as Code di SOC Prime offre un lotto di regole Sigma che possono essere automaticamente convertite in diversi formati SIEM, EDR e XDR. Per una ricerca di contenuti semplificata, tutte le regole Sigma sono etichettate come CERT-UA#4987 basate sull’avviso corrispondente di CERT-UA. Per accedere a questo pacchetto di rilevamento, assicurati di iscriverti o accedere alla piattaforma di SOC Prime e poi seguire il link sottostante:

Regole Sigma per rilevare l’attività dannosa coperta dall’alert CERT-UA#4987

Per identificare tempestivamente i campioni di malware AgentTesla nell’ambiente dell’organizzazione, accedi all’intera lista di algoritmi di rilevamento cliccando il pulsante Detect & Hunt . Inoltre, i professionisti della sicurezza informatica possono esplorare SOC Prime per scoprire l’ultimo contesto di minaccia legato al malware AgentTesla, inclusi i riferimenti MITRE ATT&CK® e CTI insieme a un elenco di regole Sigma dedicate. Clicca il pulsante Explore Threat Context per approfondire istantaneamente le informazioni complete relative alla minaccia.

Detect & Hunt Explore Threat Context

Contesto MITRE ATT&CK®

Per immergersi nel contesto dell’ultimo attacco informatico contro l’Ucraina coperto dall’alert CERT-UA#4987, tutte le regole Sigma dedicate sono allineate con il quadro MITRE ATT&CK che affronta le relative tattiche e tecniche:

Tactics 

Techniques

Sigma Rule

Initial Access

Phishing (T1566)

Defense Evasion

Signed Binary Proxy Execution (T1218)

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento Malware Koske: Nuova Minaccia Linux Generata dall’IA 6 min di lettura Ultime Minacce Rilevamento Malware Koske: Nuova Minaccia Linux Generata dall’IA by Veronika Telychko Intelligenza Artificiale nella Cyber Threat Intelligence 17 min di lettura SIEM & EDR Intelligenza Artificiale nella Cyber Threat Intelligence by Veronika Telychko CyberLock, Lucky_Gh0$t e Rilevamento Numero: Gli Hacker Sfruttano Installatori di Strumenti AI Falsi in Attacchi Ransomware e Malware 8 min di lettura Ultime Minacce CyberLock, Lucky_Gh0$t e Rilevamento Numero: Gli Hacker Sfruttano Installatori di Strumenti AI Falsi in Attacchi Ransomware e Malware by Veronika Telychko
Tutte le notizie