Rilevamento del Malware Cobalt Strike Beacon: Un Nuovo Attacco Informatico alle Organizzazioni Governative Ucraine Attribuito al Gruppo UAC-0056
Indice:
Il famigerato malware Cobalt Strike Beacon è stato attivamente distribuito da diversi collettivi di hacking nella primavera del 2022 come parte della guerra informatica in corso contro l’Ucraina, utilizzato principalmente in attacchi mirati di phishing contro organi statali ucraini. Il 6 luglio 2022, CERT-UA ha rilasciato un avviso avvertendo di una nuova campagna email malevola che prende di mira enti governativi ucraini. L’attacco informatico in corso coinvolge la distribuzione massiva di email con un oggetto esca e un allegato in formato XLS contenente una macro malevola che porta a diffondere l’infezione da malware Cobalt Strike Beacon su un sistema compromesso.
Distribuzione di Cobalt Strike Beacon: CERT-UA Dettaglia l’Ultimo Attacco UAC-0056 Contro l’Ucraina
In precedenza, a marzo 2022, i ricercatori di CERT-UA hanno osservato l’attività del gruppo di hacking UAC-0056 che diffondeva Cobalt Strike Beacon insieme ad altri ceppi di malware in una campagna di phishing contro enti governativi ucraini. L’ultimo attacco informatico segnalato da CERT-UA condivide somiglianze con l’incidente precedente sfruttando lo stesso vettore di attacco e applicando gli stessi modelli comportamentali che possono essere attribuiti all’attività del gruppo UAC-0056.
La catena di attacco inizia con un’email di phishing contenente esche legate al contesto militare e con un documento XLS malevolo allegato. Nel caso l’utente venga ingannato ad aprire il documento e abilitare una macro incorporata, un file malevolo chiamato “write.exe” viene eseguito sull’istanza infetta. L’analisi di CERT-UA mostra che questo file agisce come un dropper per innescare uno script PowerShell. Inoltre, “write.exe” garantisce la persistenza creando una chiave “Check License” nel registro di Windows.
Durante la fase successiva dell’attacco, lo script PowerShell elude AMSI, disattiva la registrazione degli eventi per PowerShell e assicura la decodifica e l’estrazione dello script PowerShell di seconda fase destinato all’infezione da Cobalt Strike Beacon.
Rilevare l’Attività UAC-0056: Regole Sigma per Individuare i Nuovi Attacchi Contro il Governo Ucraino
Per assistere i difensori informatici nel rilevamento e mitigazione proattiva dell’attività malevola associata all’ultimo attacco contro enti governativi ucraini, la piattaforma Detection as Code di SOC Prime offre un insieme di regole Sigma curate. Per una ricerca semplificata del contenuto di rilevamento rilevante, tutte le regole Sigma sono taggate come #UAC-0056 in base all’attività dell’avversario attribuita a questo attacco informatico più recente trattato nell’allerta CERT-UA#4914. Per accedere istantaneamente agli algoritmi di rilevamento, segui il link qui sotto dopo esserti registrato o aver effettuato l’accesso alla piattaforma SOC Prime:
Regole Sigma per rilevare l’attività malevola del gruppo UAC-0056
Per ottenere l’intero elenco delle regole di rilevamento e query di caccia che permettono agli esperti di cybersecurity di identificare tempestivamente la presenza malevola di Cobalt Strike Beacon nel loro ambiente, clicca sul pulsante Detect & Hunt . Esplora il motore di ricerca delle minacce informatiche di SOC Prime per approfondire istantaneamente l’elenco delle regole Sigma per rilevare l’attività malevola degli attori della minaccia UAC-0056 insieme a metadati contestuali approfonditi, come riferimenti MITRE ATT&CK® e CTI, descrizioni CVE e altro contesto di minaccia rilevante.
pulsante Detect & Hunt Esplora il Contesto della Minaccia
Contesto MITRE ATT&CK®
Per ottenere approfondimenti sul contesto degli attacchi informatici attribuiti all’attività del gruppo UAC-0056 che prende di mira funzionari governativi ucraini, tutte le regole Sigma qui sopra menzionate sono allineate al framework MITRE ATT&CK® affrontando le corrispondenti tattiche e tecniche:
