Rilevamento di CredoMap e Cobalt Strike Beacon: il Gruppo APT28 e gli Attori della Minaccia UAC-0098 Attaccano Ancora una Volta le Organizzazioni Ucraine
Indice:
Il 20 giugno 2022, CERT-UA ha emesso due avvisi separati che avvertono la comunità globale della cybersicurezza di una nuova ondata di attacchi informatici contro organizzazioni ucraine utilizzando la nefasta vulnerabilità zero-day sfruttata attivamente in natura e tracciata come CVE-2022-30190 aka Follina. Nell’ avviso CERT-UA#4842 , i ricercatori di cybersicurezza hanno svelato l’attività malevola di un gruppo di hacker identificato come UAC-0098 che diffonde il malware Cobalt Strike Beacon . Un altro avviso CERT-UA#4843 evidenzia la distribuzione del malware CredoMap attribuito all’attività malevola del noto collettivo di hacker supportato dalla nazione russa APT28 anche noto come UAC-0028.
Rileva l’Attività Malevola di APT28 e UAC-0098 Osservata negli Attacchi Informatici contro l’Ucraina
Per aiutare i praticanti di cybersicurezza a difendersi proattivamente dall’attività malevola descritta negli avvisi CERT-UA#4842 e CERT-UA#4843, la piattaforma Detection as Code di SOC Prime offre un pacchetto di regole Sigmadedicate. Per una ricerca del contenuto semplificata, tutti gli algoritmi di rilevamento sono etichettati in base all’attività avversaria associata agli attacchi rilevanti, come #UAC-0098, o in base all’identificazione dell’avviso corrispondente CERT-UA, come CERT-UA#4843. Gli utenti di SOC Prime sono invitati ad accedere alla piattaforma con il loro account attuale o a crearne uno nuovo per accedere ai kit di regole dedicati:
Regole Sigma per rilevare l’attività malevola del gruppo UAC-0098, inclusi gli ultimi attacchi coperti nell’avviso CERT-UA#4842
Regole Sigma per rilevare l’attività malevola coperta nell’avviso CERT-UA#4843
Tutti i contenuti SOC di riferimento filtrati dai tag corrispondenti sono allineati con il framework MITRE ATT&CK® e sono compatibili con le soluzioni SIEM, EDR e XDR leader del settore, consentendo ai team di adattare le capacità di rilevamento e caccia alle minacce ai loro profili di minaccia unici e alle esigenze ambientali.
Inoltre, di seguito puoi trovare un lungo elenco di regole basate su Sigma per rilevare l’attività malevola del collettivo di hacker APT28 identificato anche come UAC-0028, osservato nell’ultima campagna di diffusione del malware CredoMap oltre a una serie di precedenti attacchi di phishing contro l’Ucraina:
Regole Sigma per Rilevare l’Attività Malevola di APT28/UAC-0028
Per accedere all’elenco completo delle regole Sigma per il rilevamento dello sfruttamento della vulnerabilità CVE-2022-30190, gli utenti registrati di SOC Prime possono cliccare il pulsante Rileva & Caccia e indirizzarsi istantaneamente alla pila di rilevamento dedicata. I professionisti della cybersicurezza possono anche navigare su SOC Prime senza registrazione per esplorare immediatamente le ultime tendenze nell’arena delle minacce informatiche, accedere alle nuove regole Sigma rilasciate e ottenere informazioni contestuali rilevanti.
pulsante Rileva & Caccia Esplora il Contesto delle Minacce
Distribuzione di Malware CredoMap e Cobalt Strike Beacon: Panoramica degli Ultimi Attacchi contro l’Ucraina
A giugno 2022, i ricercatori di cybersicurezza hanno osservato l’andamento di attacchi inhnatura che colpiscono enti governativi ucraini sfruttando la vulnerabilità zero-day CVE-2022-30190 di Windows e diffondendo il malware Cobalt Strike Beacon. Nelle ultime campagne malevole contro le organizzazioni ucraine, gli attori delle minacce APT28 e UAC-0098 continuano a sfruttare l’exploit CVE-2022-30190 cercando di distribuire campioni di malware Cobalt Strike Beacon e CredoMap applicando un vettore di attacco simile tramite l’uso di un allegato esca.
Entrambi i ceppi di malware utilizzati negli ultimi attacchi coperti dagli avvisi CERT-UA sopra menzionati sono già stati al centro dell’attenzione dei ricercatori di cybersicurezza durante la guerra informatica globale in corso rappresentando il vettore di attacco di phishing. All’inizio di quest’anno, nell’aprile 2022, il collettivo di hacker UAC-0098 noto anche come TrickBot è stato scoperto mentre diffondeva Cobalt Strike Beacon in una campagna di phishing indirizzata a funzionari ucraini e sfruttando email relative ad Azovstal. Per quanto riguarda le precedenti campagne di phishing del gruppo APT-28 legato alla Russia noto anche come UAC-0028, nel marzo 2022 è stato individuato dietro un attacco informatico contro enti statali ucraini che sfruttava anche la versione aggiornata del malware CredoMap denominata CredoMap_v2.
Nelle ultime campagne evidenziate dagli avviso CERT-UA#4842 and CERT-UA#4843 avvisi, gli avversari hanno sfruttato un documento esca che innesca una catena di infezione e porta al download di un file HTML, seguito dall’esecuzione di codice JavaScript malevolo, che diffonde ulteriormente il malware sui sistemi compromessi. Nell’attacco informatico attribuito al gruppo UAC-0098, il file DOCX esca è stato consegnato tramite email di spoofing che mascherava un falso mittente come il Servizio Fiscale dello Stato dell’Ucraina.
Con un numero crescente di volumi di attacchi che modellano il panorama moderno delle minacce informatiche, i professionisti della cybersicurezza sono costantemente alla ricerca di capacità di difesa informatica avanzate e nuovi modi per investigare le minacce in modo più fluido. La piattaforma Detection as Code di SOC Prime sfrutta il potere della difesa informatica collaborativa per consentire alle organizzazioni globali di migliorare il rilevamento delle minacce e accelerare la velocità del threat hunting più efficientemente che mai. Inoltre, i singoli professionisti della cybersicurezza appassionati di creare le proprie regole di rilevamento hanno un’opportunità brillante di unirsi al Programma Threat Bounty e vedere in azione come il loro contributo ai contenuti aiuti a costruire un futuro più sicuro.
