APT Armageddon Conosciuto Come UAC-0010 Distribuisce GammaLoad.PS1_v2 Malware di Spionaggio in una Nuova Campagna di Phishing Contro l’Ucraina

Il famigerato collettivo di hacker russi sponsorizzato dallo stato, Armageddon, recentemente coinvolto in attacchi di phishing contro enti statali ucraini ed europei, continua la sua attività malevola. Basato sulle ultime indagini del CERT-UA, gli attori della minaccia Armageddon identificati anche come UAC-0010 sono stati osservati in un altro attacco informatico contro l’Ucraina distribuendo email di phishing e diffondendo software dannoso chiamato GammaLoad.PS1_v2.

Armageddon APT Prende di Mira l’Ucraina con la Distribuzione del Malware GammaLoad.PS1_v2: Analisi dell’Attacco

Secondo il rapporto del Servizio di Sicurezza dell’Ucraina (SSU), gli attori della minaccia Armageddon tracciati anche come Gamaredon (da Eset, ricercatori PaloAlto) o Primitive Bear (da CrowdStrike) sono identificati come un gruppo APT, creato come unità speciale del Servizio di Sicurezza Federale della Russia per condurre attività di intelligence e sovversive contro l’Ucraina sul fronte cibernetico.

Nell’ attacco dell’aprile precedente, il gruppo di cyber spionaggio ha sfruttato il malware GammaLoad.PS1 consegnato tramite email di phishing e distribuito attraverso una catena di infezione utilizzando il codice VBScript dannoso. Un mese dopo, un’altra campagna di phishing dell’APT Armageddon prende di mira l’Ucraina applicando la versione aggiornata del malware identificato come GammaLoad.PS1_v2.

Il phishing rimane il vettore di attacco preferito dal gruppo APT Armageddon collegato alla Russia, con l’ultima campagna che non fa eccezione. Questa volta, il gruppo Armageddon ha anche scelto il loro metodo avversario comune applicando l’oggetto dell’email e i nomi dei file come esche di phishing insieme all’allegato dannoso che attiva la catena di infezione. Basato sulla ricerca di CERT-UA, tali email di phishing vengono consegnate con un allegato HTM che, una volta aperto, crea un archivio RAR con un file di collegamento LNK, che può potenzialmente portare all’esecuzione e al lancio di un file HTA. Quest’ultimo genera ed esegue due file che infine rilasciano GammaLoad.PS1_v2 sul computer mirato.

Regole Sigma per Rilevare Attacchi Informatici dell’APT Armageddon

Per aiutare le organizzazioni a difendersi proattivamente dagli attacchi di phishing dell’APT Armageddon (UAC-0010), SOC Prime offre un set unico di regole Sigma dedicate, incluse allarmi e query, filtrati da un tag personalizzato appropriato #UAC-0010 per semplificare la ricerca dei contenuti:

Regole Sigma per rilevare attività malevole dal gruppo Armageddon (UAC-0010)

Gli ingegneri di rilevamento possono raggiungere quest’elenco completo di elementi di contenuti curati dopo essersi autenticati sulla piattaforma di SOC Prime con il loro account esistente e poi scegliere le regole più rilevanti in base al caso d’uso, tipo di contenuto, prodotto o categoria di origine del log, ID dell’evento insieme ad altre fonti di dati personalizzate per le loro esigenze ambientali.

Contesto MITRE ATT&CK®

Per un’analisi approfondita focalizzata sui modelli di comportamento degli avversari, tutte le regole Sigma per rilevare l’attività malevola del collettivo hacker Armageddon/UAC-0010 sono allineate con MITRE ATT&CK affrontando le corrispondenti tattiche e tecniche: