Gli Attori della Minaccia Armageddon alias UAC-0010 Diffondono il Malware GammaLoad.PS1_v2 in un Ennesimo Attacco di Phishing contro l’Ucraina

Nella primavera 2022, il noto gruppo russo di cyber spionaggio sostenuto dalla nazione Armageddon, noto anche come UAC-0010, ha lanciato una serie di cyber attacchi di phishing mirati contro enti governativi ucraini ed europei. Il 26 luglio 2022, CERT-UA ha emesso una serie di nuovi avvisi di sicurezza informatica avvertendo la comunità globale dei difensori del cyberspazio di una ondata di nuove campagne di phishing da parte di questi attori di minaccia collegati alla Russia che hanno preso di mira l’Ucraina e distribuito massicciamente il malware GammaLoad.PS1_v2.

Ultima Analisi di Cyber-Attacchi di Armageddon APT (UAC-0010): Distribuzione di Massa del Malware GammaLoad.PS1_v2

Dal 2014 e con l’escalation dell’ aggressione russa contro l’Ucraina il 24 febbraio 2022, la Russia ha evoluto la sua guerra ibrida e avanzato campagne di cyber spionaggio. Secondo il rapporto tecnico del Servizio di Sicurezza dell’Ucraina (SSU), il collettivo di hacker Armageddon, conosciuto anche come Gamaredon basato su un errore di ortografia del nome originale del gruppo, è stato creato come un’unità speciale per svolgere attività di intelligence e cyber spionaggio contro gli enti statali ucraini. 

Dopo una serie di cyber-attacchi nella primavera 2022 lanciati dal gruppo APT di Armageddon, gli attori di minaccia sono di nuovo in aumento sfruttando il vettore di attacco delle email di phishing. In precedenza, ad aprile 2022, il gruppo identificato anche come UAC-0010 ha lanciato una serie di cyber-attacchi mirati contro enti statali ucraini ed europei diffondendo email di phishing con allegati dannosi. Un mese dopo, il gruppo Armageddon è riemerso nell’arena delle minacce informatiche sfruttando il suo vettore di attacco di phishing preferito per distribuire il software dannoso GammaLoad.PS1_v2 sui sistemi compromessi.

Secondo i ultimi avvisi CERT-UA, il collettivo di hacker UAC-0010 distribuisce massicciamente email di phishing mirate sfruttando esche legate alla guerra come oggetti delle email e travestendosi da mittenti dell’Accademia Nazionale del Servizio di Sicurezza dell’Ucraina. Queste email contraffatte contengono un codice HTM che innesca una catena di infezioni. Una volta aperto, quest’ultimo crea un archivio RAR dannoso con un file scorciatoia LNK utilizzato come esca per indurre le vittime ad aprirlo. Se aperto, il file LNK sopra menzionato scarica ed esegue un file HTA contenente codice VBScript, che applica PowerShell per decrittare e lanciare il malware GammaLoad.PS1_v2 sui computer bersaglio. Per eludere il rilevamento, gli attaccanti applicano servizi esterni per prevenire la risoluzione DNS dei server di comando e controllo (C2). 

A causa di un aumento drammatico degli attacchi di phishing che sfruttano le tecniche avversarie sopra menzionate, è fortemente consigliato che le organizzazioni globali implementino programmi completi di gestione della superficie di attacco come parte delle loro strategie di sicurezza informatica. L’uso di servizi email esterni sui dispositivi aziendali impedisce ai contenuti delle email di subire controlli di sicurezza appropriati, il che può potenzialmente portare ad attacchi di phishing. 

Rilevamento dell’Attività UAC-0010: Regole Sigma per Difendersi dai Cyber-Attacchi Emergenti di Phishing

Con un numero costantemente crescente di cyber-attacchi di phishing che colpiscono migliaia di organizzazioni in tutto il mondo, i difensori informatici si rendono conto che difendersi proattivamente dall’attività dannosa correlata è una priorità assoluta per migliorare la postura di cybersecurity dell’organizzazione. La piattaforma Detection as Code di SOC Prime cura avvisi ad alta fedeltà e interrogazioni di caccia alle minacce verificate per consentire alle organizzazioni di identificare tempestivamente l’attività dannosa degli attori di minaccia Armageddon (UAC-0010) coperta dagli ultimi avvisi CERT-UA. 

Per una ricerca di contenuti più snella, tutte le rilevazioni sono taggate come #UAC-0010 basato sull’identificatore associato all’attività avversaria. Gli utenti registrati di SOC Prime possono beneficiare delle regole Sigma dedicate seguendo il link sotto: 

Regole basate su Sigma per individuare l’attività dannosa di Armageddon APT (UAC-0010) coperta dagli ultimi avvisi CERT-UA

I professionisti della cybersecurity sono anche invitati ad accedere a più regole Sigma per rilevare i cyber-attacchi del gruppo Armageddon aka Gamaredon cliccando sul pulsante Detect and Hunt sotto. In alternativa, i professionisti InfoSec possono navigare nel motore di ricerca delle minacce informatiche di SOC Prime per l’attività avversaria UAC-0010 e esplorare istantaneamente il contesto completo della minaccia come riferimento a MITRE ATT&CK® e riferimenti CTI, link ai media, binari eseguibili collegati alle regole Sigma, e più metadati contestuali insieme alle rilevazioni correlate anche senza registrazione.

Detect & Hunt Esplora Contesto della Minaccia

Contesto MITRE ATT&CK®

Per ottenere approfondimenti nel contesto MITRE ATT&CK degli ultimi cyber-attacchi del gruppo Armageddon APT noto come UAC-0010, tutte le regole Sigma dedicate sono allineate con framework MITRE ATT&CK® affrontando le tattiche e tecniche corrispondenti: