Gruppo di Spionaggio Cibernetico Armageddon Tracciato come UAC-0010 Attacca Entità del Governo UE e Ucraino

[post-views]
Aprile 06, 2022 · 4 min di lettura
Gruppo di Spionaggio Cibernetico Armageddon Tracciato come UAC-0010 Attacca Entità del Governo UE e Ucraino

Aggiornamento: Secondo il ultimo avviso del 7 aprile 2022, il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha emesso un allarme con i dettagli dell’attacco di phishing più recente contro gli enti statali ucraini, subito dopo la catena kill dell’attacco identificata con modelli di comportamento simili riscontrati un paio di giorni fa.

Il 4 aprile 2022, CERT-UA ha lanciato un avviso avvertendo di una campagna di spear-phishing in corso mirata agli enti governativi dell’Ucraina che coinvolgeva la diffusione di un’email con un allegato malware. I ricercatori di CERT-UA ritengono che il gruppo di hacker tracciato come UAC-0010 noto anche come Armageddon sia dietro gli attacchi di spear-phishing contro funzionari governativi ucraini.

Nello stesso giorno, un altro avviso di CERT-UA è stato emesso avvertendo della nuova attività rilevata attribuita agli attori di minacce sopra menzionati. Questa volta, il famigerato gruppo di hacker Armageddon attacca le agenzie statali europee con vittime compromesse allo stesso modo attraverso la consegna di email di phishing con allegati malevoli.

Attività di Spionaggio Informatico di Armageddon (UAC-0010): Panoramica e Analisi

Secondo il Servizio di Sicurezza dell’Ucraina (SSU), Armageddon è stato sotto i riflettori nell’arena cyber dal 2013-2014. Il gruppo di spionaggio informatico è stato creato come parte integrante del Servizio di Sicurezza Federale della Federazione Russa con l’obiettivo di condurre attività di intelligence e sabotaggio informatico mirate contro enti governativi ucraini per raccogliere informazioni sensibili. Gli attori di minaccia sono tracciati come Armageddon APT conosciuti anche come Gamaredon APT, con quest’ultimo nome del gruppo derivato da un errore di ortografia della parola “Armageddon”.

Gli attori della minaccia di Armageddon hanno utilizzato TTP simili per compromettere un gran numero di utenti, con le campagne di phishing che rappresentano uno dei loro metodi avversari più ampiamente utilizzati. Nel corso del periodo di attività rilevata, l’invio massiccio di email a potenziali vittime con allegati malevoli che portano alla diffusione di molteplici ceppi di malware è stato il principale vettore d’attacco del gruppo, e i recenti attacchi informatici non fanno eccezione. Il gruppo Gamaredon applica semplici strumenti scritti in VBScript, VBA Script, C#, C++ e altri linguaggi di programmazione, affidandosi per lo più a software open-source nei primi giorni della loro attività, mentre tende gradualmente ad arricchire il proprio set di strumenti con una serie di strumenti di spionaggio informatico personalizzati, inclusi Pterodo/Pteranodon e malware EvilGnome. malware.

As CERT-UA ha riferito che l’attività recente degli attori di spionaggio informatico che prende di mira gli enti statali lettoni ha coinvolto l’invio di email di phishing che contenevano file di scorciatoia malevoli all’interno di archivi RAR. Negli attacchi informatici agli enti governativi ucraini, gli hacker di Armageddon hanno diffuso esche email con soggetti che coprono dati su criminali di guerra legati alla Russia. Queste email di phishing contengono un allegato HTM che, una volta aperto, genera un archivio RAR con un file LNK malevolo, che esegue ulteriori codici VBScript infettando il sistema compromesso.

Contenuti Comportamentali Sigma per Identificare Attacchi Informatici da Armageddon (UAC-0010)

Gli operatori di sicurezza possono tracciare l’attività più recente del gruppo di hacker Armageddon (UAC-0010) utilizzando un set di regole di rilevamento basato su Sigma curate dal Team di SOC Prime:

https://tdm.socprime.com/expert/?tagsCustom[]=UAC-0010

Tutte le regole di rilevamento sopra menzionate sono etichettate come #UAC-0010 per semplificare la ricerca di contenuti relativi all’attività malevola dei corrispondenti attori di minaccia. Per accedere al kit di regole e cercare minacce, assicurati di registrarti o accedere a SOC Prime’s Detection as Code piattaforma.

Contesto MITRE ATT&CK®

Per approfondire il contesto degli attacchi informatici più recenti di Armageddon/UAC-0010 contro funzionari governativi ucraini ed europei, tutte le rilevazioni basate su Sigma dedicate sono mappate alla versione più recente del framework MITRE ATT&CK che affronta le tattiche e tecniche corrispondenti:

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Accedi alla Funzionalità di Uncoder AI tramite API 2 min di lettura Piattaforma SOC Prime Accedi alla Funzionalità di Uncoder AI tramite API by Steven Edwards Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI 2 min di lettura Piattaforma SOC Prime Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI by Steven Edwards Tradurre da Sigma in 48 Lingue 2 min di lettura Piattaforma SOC Prime Tradurre da Sigma in 48 Lingue by Steven Edwards
Tutte le notizie