Rilevamento dei Backdoor CredPump, HoaxPen e HoaxApe: Gli Hacker UAC-0056 Lanciano Attacchi Disruptivi Contro i Siti del Governo Ucraino Pianificati Più di un Anno Prima
Indice:
Avvicinandosi alla data dell’anniversario di un anno dell’ scoppio della guerra a tutto campo in Ucraina, i difensori informatici hanno affrontato i rischi di potenziali attacchi contro l’Ucraina e i suoi alleati da parte delle forze offensive russe. Il 23 febbraio, i ricercatori di sicurezza informatica del CERT-UA hanno rivelato l’attività dannosa attribuita al gruppo di hacker UAC-0056, che è stato osservato in campagne dannose contro l’Ucraina sfruttando il vettore di attacco di phishing nel luglio 2022. Nella campagna avversaria scoperta, gli attori delle minacce miravano a compromettere l’integrità e la disponibilità dei siti web governativi sfruttando più backdoor, che erano state installate oltre un anno prima.
Analisi degli Attacchi Informatici Distruttivi Contro l’Ucraina dal Gruppo UAC-0056 Collegato alla Russia
Il 23 febbraio 2023, la CISA ha emesso un avviso incitando le organizzazioni statunitensi ed europee a potenziare la loro vigilanza informatica in risposta ai potenziali attacchi informatici degli aggressori russi. I difensori informatici hanno avvertito le organizzazioni e gli utenti individuali sui rischi elevati di attacchi distruttivi contro più siti web che segnano l’anniversario di un anno dell’invasione su larga scala della Russia in Ucraina. L’avviso è stato emesso poco dopo che i ricercatori del CERT-UA hanno rilevato l’attività distruttiva dannosa contro i siti web del governo ucraino e lo hanno trattato nell’ avviso CERT-UA#6060.
I ricercatori di sicurezza informatica del CERT-UA hanno scoperto un attacco mirato a organi governativi ucraini e destinato a compromettere l’integrità e la disponibilità dei siti web informativi statali. Sulla base dei modelli di comportamento osservati, l’attività avversaria può essere attribuita al collettivo di hacker UAC-0056 (DEV-0586, unc2589) o Ember Bear.
Il collettivo di hacker è stato responsabile di una serie di attacchi di phishing a enti statali ucraini a metà estate del 2022, diffondendo il malware Cobalt Strike Beacon. Ember Bear è un gruppo di spionaggio informatico sospettato di essere supportato dalla nazione russa, che è stato osservato nell’arena delle minacce informatiche dal marzo 2021, prendendo di mira principalmente Ucraina e Georgia insieme a organizzazioni in Europa e negli Stati Uniti in vari settori industriali, compresi finanza e farmaceutica. Il gruppo UAC-0056 collegato alla Russia potrebbe anche essere dietro l’attacco di distruzione dati WhisperGate alla svolta del 2022. at the turn of 2022.
Il 23 febbraio 2023, i ricercatori hanno rivelato una delle web shell criptate in una delle risorse web compromesse, che è stata sfruttata dagli attaccanti la notte precedente. A seguito di un’attività dannosa, è stato creato un nuovo file “index.php” nel catalogo web principale. Quest’ultimo file ha permesso la modifica del contenuto della home page della risorsa web compromessa. Gli attori delle minacce hanno comunicato con la web shell utilizzando indirizzi IP, inclusi quelli appartenenti ai dispositivi vicini di altre organizzazioni violate a causa di precedenti abusi dell’account e ulteriori connessioni abilitate tramite VPN alle corrispondenti organizzazioni.
In questa campagna in corso, gli avversari hanno sfruttato una nota backdoor SSH CredPump (usata come modulo RAM), che consente agli attaccanti di ottenere l’accesso remoto SSH e abilitare la registrazione delle credenziali tramite connessione basata su SSH. Altri ceppi di malware scoperti conosciuti come le backdoor HoaxPen e HoaxApe sono stati distribuiti nel febbraio 2022 per l’esecuzione del codice, un anno prima del lancio di una campagna dannosa.
Nelle fasi iniziali del ciclo di vita dell’attacco, gli attori delle minacce hanno applicato altri campioni di malware, tra cui le utility GOST (Go Simple Tunnel) e Ngrok, per distribuire la backdoor HoaxPen. Notevolmente, gli attori delle minacce avevano pianificato l’accesso remoto non autorizzato ai sistemi obiettivo in anticipo rispetto al lancio di una campagna dannosa.
Rilevazione dell’Attività Dannosa del Gruppo UAC-0056 Trattata nell’Avviso CERT-UA#6060
Con CERT-UA e CISA che emettono avvisi che avvertono di azioni distruttive in corso e potenziali affiliate alla Russia contro l’Ucraina e i suoi alleati, le organizzazioni e gli utenti individuali dovrebbero prendere misure immediatamente per difendersi proattivamente contro l’attività dannosa correlata e migliorare la loro vigilanza informatica. La piattaforma Detection as Code di SOC Prime cura un set di regole Sigma per rilevare l’attività avversaria del noto gruppo UAC-0056, che è dietro la campagna più recente trattata nel avviso CERT-UA#6060. Le rilevazioni sono allineate al framework MITRE ATT&CK® v12 e sono istantaneamente convertibili in oltre 27 soluzioni SIEM, EDR e XDR pronte per essere implementate nell’ambiente specifico dell’organizzazione. Per una ricerca di contenuti semplificata, tutte le regole Sigma sono filtrate dal corrispondente tag personalizzato “CERT-UA#6060” basato sul identificativo di allerta CERT-UA.
Clicca sul pulsante Esplora il Rilevamento per consultare l’intero elenco di algoritmi di rilevamento rilevanti arricchiti con un contesto di minacce informatiche approfondito, come riferimenti ATT&CK e link CTI, mitigazioni e binari eseguibili collegati alle regole Sigma.
Contesto MITRE ATT&CK
Per esplorare il contesto dietro la più recente campagna dannosa UAC-0056 riportata nell’avviso CERT-UA#6060, tutte le regole Sigma dedicate sono automaticamente taggate con ATT&CK affrontando le tattiche e tecniche corrispondenti:
Dal 24 febbraio 2022, la Russia ha lanciato oltre 2.100 attacchi informatici contro l’Ucraina e i suoi alleati, alcuni dei quali erano stati pianificati in precedenza, come nel caso dell’attività più recente degli hacker UAC-0056. Per aiutare i team a restare sempre un passo avanti rispetto alle minacce affiliate alla Russia attuali ed emergenti, approfitta dell’abbonamento basato su beneficenza #Sigma2SaveLives offrendo accesso diretto a oltre 500 regole Sigma contro i gruppi APT supportati dalla nazione russa insieme a 50 rilevamenti a tua scelta. Ottieni l’abbonamento con il 100% del ricavato donato per aiutare la difesa dell’Ucraina su https://my.socprime.com/pricing/.
