Diffusione del Malware Cobalt Strike Beacon Tramite Email di Phishing Mirate Relazionate ad Azovstal: Attacco Informatico agli Enti Governativi Ucraini

Il 18 aprile 2022, CERT-UA ha emesso un allarme avvertendo di attacchi informatici in corso che puntano a enti statali ucraini. Secondo la ricerca, funzionari governativi sono stati esposti a attacchi phishing mirati tramite email correlate ad Azovstal che contenevano allegati dannosi spargendo Cobalt Strike Beacon malware. L’attività rilevata riflette i modelli di comportamento associati al collettivo di hacker tracciato come UAC-0098 noto anche come TrickBot.

Attacchi Phishing Usando Malware Cobalt Strike: Panoramica e Analisi

Oltre un mese fa, le entità governative ucraine hanno affrontato attacchi phishing diffondendo esche email con file dannosi che scaricavano sequenzialmente l’uno l’altro per infettare il sistema mirato con una serie di malware, incluso Cobalt Strike Beacon, il payload malware predefinito usato per creare una connessione al server del team e progettato per simulare attaccanti avanzati. 

Cobalt Strike Beacon è noto per essere stato usato precedentemente in campagne di distribuzione di malware, inclusi gli attacchi informatici che sfruttavano la vulnerabilità CVE-2018-20250 in the WinRAR archiver. In questo attacco informatico, archivi dannosi sono stati consegnati tramite email di spam e hanno innescato la catena di infezioni per eseguire script dannosi e altri payload. 

Nel più recente attacco informatico da parte degli attori della minaccia UAC-0098, il payload dannoso è stato diffuso tramite email di phishing con l’oggetto esca relativo ad Azovstal. Le email mirate in questione contenevano allegati XLS e macro dannose coinvolte nella catena di infezioni che hanno portato alla consegna di Cobalt Strike Beacon e al compromesso del computer della vittima. Basato sulle tecniche di crittografia applicate, l’attività rivelata è stata attribuita alla nefasta gang di malware affiliata alla Russia, TrickBot russia-affiliated malware gang TrickBot. 

Contenuto Comportamentale Sigma per Rilevare Attacchi Informatici da UAC-0098 che Diffondono Malware Cobalt Strike Beacon

I professionisti della sicurezza possono difendersi proattivamente da attacchi informatici che coinvolgono Cobalt Strike Beacon diffuso dal gruppo di hacking UAC-0098 con un insieme di regole di rilevamento basate su Sigma curate dal Team SOC Prime:

Regole Sigma per rilevare la diffusione di Cobalt Strike Beacon da parte di UAC-0098

L’intero stack di rilevamento è etichettato come #UAC-0098 per una ricerca di contenuti correlati alle minacce semplificata. Prima di accedere alle regole, si prega di registrarsi alla Piattaforma di Detection as Code di SOC Prime o effettuare il login con il proprio account esistente. 

I team possono anche cercare minacce associate all’attività del gruppo di hacking UAC-0098 utilizzando i contenuti di caccia sopra menzionati con il modulo Quick Hunt di SOC Prime modulo.

Contesto MITRE ATT&CK®

I professionisti della sicurezza possono approfondire il contesto dietro l’ultimo attacco di phishing correlato ad Azovstal contro enti statali ucraini basandosi sul framework MITRE ATT&CK. Tutto il contenuto dedicato basato su Sigma è allineato con l’ultima versione del framework MITRE ATT&CK v.10 affrontando le corrispondenti tattiche e tecniche: