Rileva il Malware SmokeLoader: UAC-0006 Colpisce Ancora per Prendere di Mira l’Ucraina in una Serie di Attacchi di Phishing
Indice:
Sull’onda della massiccia campagna di phishing lanciata da UAC-0006 all’inizio di maggio 2023, CERT-UA avverte i difensori informatici di una nuova ondata di attacchi informatici che risultano in infezioni SmokeLoader. L’ultima indagine indica che gli avversari diffondono sempre più email di phishing con esche a tema finanziario e utilizzano allegati ZIP/RAR per distribuire campioni dannosi sulle istanze target.
Analisi degli attacchi di phishing UAC-0006 mirati alla distribuzione di SmokeLoader
Il 29 maggio 2023, gli esperti di CERT-UA hanno rilasciato un nuovo allarme CERT-UA#6757 che descrive in dettaglio la campagna di phishing in corso lanciata dal collettivo di hacker UAC-0006. Sfruttando gli allegati dannosi con un dedicato downloader in JavaScript, gli avversari consegnano SmokeLoader ai sistemi target. In particolare, gli hacker utilizzano archivi ZIP o RAR contenenti file HTML o VHDX dannosi. In caso di estrazione, l’archivio attiva il codice JavaScript, che a sua volta scarica e lancia il file eseguibile che successivamente distribuisce SmokeLoader per diffondere ulteriormente l’infezione.
Il team CERT-UA identifica una serie di aggiornamenti importanti nella kill chain dell’attacco UAC-0006 rispetto alla simile campagna di phishing lanciata all’inizio di maggio 2023. In particolare, gli esperti osservano che gli attaccanti tendono ad utilizzare più catene di infezione. Inoltre, il campione di SmokeLoader utilizzato nell’ultima campagna contiene 26 link URL ad un server che controlla una botnet. Inoltre, CERT-UA ha identificato un Cobalt Strike Beacon maligno utilizzato durante le intrusioni che indica che UAC-0006 mira ad espandere il proprio set di strumenti.
Rilevamento dell’ultima attività avversaria UAC-0006
Solo un paio di settimane dopo i massicci attacchi di phishing che diffondono SmokeLoader, gli attori di minaccia UAC-0006 responsabili delle precedenti intrusioni sono riemersi per colpire di nuovo. A causa dei cambiamenti nei TTP degli avversari e dell’uso di catene di infezione multiple nell’ultima operazione offensiva, le organizzazioni possono essere potenzialmente esposte a rischi più seri, il che richiede un’attenzione urgente dai difensori informatici. SOC Prime ha recentemente rilasciato un set di regole Sigma rilevanti per rilevare tempestivamente l’attività dannosa del gruppo UAC-0006 coperta nell’ ultimo allarme CERT-UA#6757. Tutti i contenuti di rilevazione sono filtrati dai tag personalizzati “CERT-UA#6757” o “UAC-0006” secondo l’allarme corrispondente e gli ID del gruppo, che consente ai ricercatori di ottimizzare la ricerca dei contenuti e le attività di threat hunting.
Premi il pulsante Esplora Rilevamenti per accedere istantaneamente all’intera collezione di regole Sigma per il rilevamento degli attacchi UAC-0006 mappati a MITRE ATT&CK® e convertibili automaticamente a soluzioni SIEM, EDR e XDR leader del settore. Per esplorare i metadati rilevanti, i collegamenti ATT&CK e i riferimenti CTI insieme ad altri contesti di minacce informatiche sono anche disponibili a portata di mano.
I membri del team SOC sono anche invitati a cercare gli IOC collegati all’attività dannosa UAC-0006 sfruttando Uncoder AI, un framework di intelligenza aumentata che serve come strumento definitivo per threat hunter e ingegneri di rilevamento e consente di convertire gli IOC in query IOC personalizzate senza limiti. Basta inserire il file, gli IOC dell’host o della rete forniti nell’ allarme CERT-UA#6757 allo strumento, selezionare la piattaforma di vostra scelta, applicare le impostazioni della query personalizzate alle vostre esigenze di sicurezza e prepararsi a cercare minacce rilevanti istantaneamente nel vostro ambiente SIEM o EDR.
Contesto MITRE ATT&CK
Per approfondire i TTP utilizzati durante l’attacco più recente dal gruppo hacker UAC-0006 che diffonde SmokeLoader, tutte le regole Sigma sopra menzionate sono mappate a ATT&CK e indirizzano le corrispondenti tattiche e tecniche:
