Rilevamento della campagna SmokeLoader: UAC-0006 continua a prendere di mira le istituzioni finanziarie ucraine in una serie di attacchi di phishing

Collettivo di hacker UAC-0006 è in aumento, prendendo di mira attivamente le organizzazioni ucraine con malware SmokeLoader in una campagna di lunga durata mirata a profitti finanziari. L’ultimo allerta di cybersecurity CERT-UA dettaglia che il gruppo di hacker ha lanciato il terzo massiccio attacco informatico consecutivo, minacciando gravemente i sistemi bancari in tutto il paese.

Analisi della Campagna di Phishing UAC-0006 mirata alla Distribuzione di SmokeLoader

Nella scia dell’operazione offensiva di UAC-0006 a metà luglio 2023, gli avversari prendono persistentemente di mira il settore finanziario ucraino con il terzo attacco consecutivo negli ultimi dieci giorni, utilizzando un vettore di phishing per distribuire il malware SmokeLoader.

Un’analisi dettagliata di CERT-UA rivela che l’ultimo attacco coinvolge l’uso di un file poliglotta ZIP dedicato, i cui contenuti variano in base al programma di estrazione. Se si utilizza WinRAR, il poliglotta ZIP conterrebbe un’estensione .pdf or .docx , portando a una sequenza di downloader JavaScript, archivio SFX, script BAT e file esca, attirando le vittime con esche a tema finanziario, in particolare relative a istruzioni di pagamento da Privat Bank, una delle più grandi banche ucraine.

Con oltre 1000 dispositivi attualmente asserviti al botnet, CERT-UA afferma con un alto livello di certezza che gli avversari stanno sfruttando dati di autenticazione compromessi da attacchi precedenti per eseguire campagne di phishing via email su larga scala.

Con l’escalation delle attività dannose di UAC-0006, CERT-UA prevede un notevole aumento delle frodi informatiche contro i sistemi bancari remoti. Per contrastare queste minacce, i difensori raccomandano vivamente di implementare misure di mitigazione come limitare l’uso di utility come wscript.exe, cscript.exe, powershell.exe, e mshta.exe mentre si implementa un filtro sul flusso di informazioni in uscita.

Rilevamento della Campagna SmokeLoader di UAC-0006 Dettagliato negli Avvisi CERT-UA#7065, CERT-UA#7076

Per aiutare i difensori informatici a sventare attività dannose mirate a infezioni da SmokeLoader, la piattaforma SOC Prime per la difesa informatica collettiva fornisce un set di regole Sigma curate mirate al rilevamento degli attacchi UAC-0006.

Premi il pulsante Esplora Rilevamenti qui sotto per ottenere un ampio batch di regole Sigma dedicate che consentono ai professionisti della sicurezza di identificare tempestivamente i TTP rilevanti utilizzati dal collettivo UAC-0006. Per semplificare la ricerca di contenuti SOC, applica i tag corrispondenti “UAC-0006”, “CERT-UA#7065”, “CERT-UA#7066”, o “SmokeLoader” per selezionare gli algoritmi di rilevamento migliorati con il contesto delle minacce informatiche e automaticamente convertibili in decine di formati SIEM, EDR, XDR.

Esplora Rilevamenti

Gli ingegneri della sicurezza possono anche fare affidamento su Uncoder AI per cercare senza problemi gli IOC elencati nei CERT-UA#6613, CERT-UA#6757, CERT-UA#6999 allerta creando query IOC personalizzate ed eseguendole nell’ambiente selezionato al volo.

Contesto MITRE ATT&CK

I difensori informatici possono anche ottenere approfondimenti sul contesto degli ultimi attacchi di phishing di UAC-0006 in maggiore dettaglio esplorando la tabella qui sotto, che fornisce l’elenco delle tattiche e tecniche rilevanti dell’avversario come da ATT&CK: