Spyware AgentTesla Distribuito Massicciamente in Campagne di Phishing che Bersagliano Organizzazioni Ucraine, Austriache e Tedesche
Indice:
Il 30 e 31 agosto 2022, CERT-UA ha rivelato un’ondata di attività avversarie che distribuiscono massivamente email di phishing tra le organizzazioni ucraine, austriache e tedesche. Secondo l’allerta CERT-UA#5252 corrispondente, gli hacker sfruttano il vettore degli allegati email per diffondere il famigerato malware rubadati AgentTesla. L’attività malevola può essere attribuita ai modelli comportamentali del collettivo di hacker tracciato come UAC-0120.
Distribuzione di Malware AgentTesla: Analisi delle Ultime Campagne Email di UAC-0120
Dal momento che il mondo è entrato nella guerra cibernetica globale quando la Russia ha lanciato la sua grande invasione dell’Ucraina, i collettivi di hacker legati alla Russia hanno intensificato le loro attività malevole lanciando campagne di ciber spionaggio e cyber attacchi distruttivi. Come parte di queste campagne, gli avversari hanno utilizzato campioni di malware rubadati, come il Trojan IcedID e lo spyware AgentTesla. Quest’ultimo appartiene a uno dei trojan spyware ampiamente utilizzati progettati per rubare dati sensibili dagli utenti compromessi. Il malware AgentTesla è emerso nei precedenti cyber-attacchi contro l’Ucraina attribuiti all’attività malevola del gruppo di hacker UAC-0041.
Il 31 agosto 2022, CERT-UA ha emesso un’allerta CERT-UA#5252 avvertendo la comunità globale dei difensori informatici di una nuova ondata di cyber-attacchi da parte del gruppo di hacker UAC-0120 che diffonde massivamente lo spyware AgentTesla. Gli avversari lanciano campagne email di phishing in corso mirate a organizzazioni in tutta l’Ucraina, Austria e Germania. Queste email contengono allegati IMG malevoli chiamati “Technisches Zeichnen” (“Disegno Tecnico”) utilizzati come esche di phishing per indurre le vittime ad aprirli e diffondere l’infezione. L’esca IMG viene fornita con un file CHM che, se aperto, esegue codice JavaScript malevolo. Quest’ultimo scarica e avvia il file node.txt tramite script PowerShell.
Di conseguenza, il codice PowerShell esegue file DLL ed EXE, quest’ultimo è lo spyware AgentTesla, che infetta i sistemi compromessi. Secondo la ricerca CERT-UA, email di phishing simili sono state consegnate l’11 agosto, ma usavano altre esche per gli oggetti delle email e gli allegati.
Rilevamento dell’Attività UAC-0120: Regole Sigma per Difendersi Proattivamente da Attacchi di Phishing che Diffondono AgentTesla
Per difendersi proattivamente dall’attività avversaria emergente di diversi collettivi di hacker che diffondono malware rubadati, i ricercatori di cybersecurity stanno cercando modi per potenziare le capacità di rilevazione delle minacce e accelerare la velocità di ricerca delle minacce. Il Team SOC Prime cura un insieme di uniche regole Sigma per rilevare l’attività malevola del gruppo UAC-0120, che è dietro gli attacchi informatici in corso che distribuiscono lo spyware AgentTesla. Poiché queste campagne di phishing prendono di mira più organizzazioni in Ucraina, Austria e Germania, i difensori informatici dovrebbero rimanere allerta per identificare tempestivamente l’infezione nell’infrastruttura della propria organizzazione e mitigare la potenziale minaccia.
I professionisti della cybersecurity possono consultare SOC Prime per le minacce correlate basate sull’identificatore del gruppo “UAC-0120” e ottenere istantaneamente accesso a regole Sigma pertinenti arricchite con metadati contestuali perspicaci, come i riferimenti MITRE ATT&CK® e CTI:
Tutte le regole Sigma sono disponibili nella piattaforma Detection as Code di SOC Prime e possono essere applicate su tecnologie SIEM, EDR e XDR leader di settore supportate.
Accedi istantaneamente alle regole Sigma arricchite di contesto per il rilevamento del malware AgentTesla direttamente dal motore di ricerca delle Minacce Cyber SOC Prime. Clicca sul pulsante Esplora Rilevamenti e approfondisci i contenuti di rilevamento rilevanti accompagnati da informazioni contestuali complete per un’indagine approfondita delle minacce. Hai bisogno di più che semplici regole di rilevamento? Approfitta del Detection as Code disponibile su richiesta che offre la massima flessibilità con un saldo prepagato.
pulsante Esplora Rilevamenti Scegli un Piano
Contesto MITRE ATT&CK®
Tutte le regole Sigma dedicate sono allineate alla cornice MITRE ATT&CK® affrontando le seguenti tattiche e tecniche avversarie che consentono ai professionisti della cybersecurity di ottenere istantaneamente approfondimenti nel contesto MITRE ATT&CK dietro le campagne email in corso del gruppo UAC-0120:
Rimani avanti alle minacce emergenti con accesso su richiesta ai contenuti più recenti e pertinenti di Detection-as-Code disponibili nella piattaforma SOC Prime. Scegli il piano di abbonamento On-Demand e risparmia fino a 2.200 ore sulla ricerca delle minacce e sullo sviluppo del contenuto di rilevamento mentre massimizzi il valore delle risorse del tuo team SOC.
