Formbook e Snake Keylogger: Ruba-informazioni massicciamente distribuiti via email utilizzando i malware RelicRace e RelicSource
Indice:
Gli attacchi di furto di informazioni che sfruttano il vettore di attacco delle email di phishing contro le organizzazioni ucraine sono attualmente in aumento, come la campagna dannosa di meno di una settimana fa che diffondeva spyware AgentTesla e prendeva di mira gli enti statali ucraini. Il 25 luglio 2022, CERT-UA ha rilasciato una nuova allerta avvisando la comunità globale dei difensori cyber di una campagna email in corso mirata alla distribuzione di massa di payload dannosi Formbook e Snake Keylogger utilizzati per rubare dati sensibili. In quest’ultimo attacco informatico, gli attori della minaccia sfruttano l’argomento delle email legato a questioni finanziarie e l’allegato archivio malevolo con lo stesso nome per ingannare le potenziali vittime nell’aprire i contenuti delle email. Gli attaccanti forniscono campioni di malware utilizzando i downloader dannosi basati su .NET identificati come RelicRace e RelicSource. Secondo la ricerca, l’attività dannosa può essere attribuita ai modelli comportamentali del collettivo di hacker UAC-0041. hacking collective.
Distribuzione di Formbook & Snake Keylogger: Analisi dell’attacco informatico
L’ultimo attacco informatico trattato nell’ avviso CERT-UA#5056 è collegato all’attività degli attori della minaccia UAC-0041 che erano stati precedentemente attribuiti alla campagna malevola nella primavera del 2022 che diffondeva Trojan IcedID, il famoso malware di furto di informazioni. In particolare, lo stesso gruppo di hacker è stato anche associato alla distribuzione di campioni di malware AgentTesla e XLoader nelle precedenti campagne malevole che prendevano di mira le organizzazioni ucraine.
Nella campagna di phishing in corso che è stata sotto i riflettori dal 19 luglio 2022, gli attori della minaccia distribuiscono massivamente email con allegati malevoli nel formato di archivio compresso TGZ. Questo archivio TGZ contiene un file eseguibile identificato come un downloader basato su .NET RelicRace, utilizzato per scaricare e avviare il famoso malware RelicSource sui sistemi compromessi. Quest’ultimo è il software di installazione del malware capace di decodificare dati archiviati in formati di crittografia multipli, tra cui XOR, DES, AES, ecc., e quindi di iniettare e avviare i payload Formbook e Snake Keylogger. Il malware applica tecniche sofisticate di persistenza e anti-analisi per eludere la rilevazione, rendendo più difficile per i difensori cyber identificare tempestivamente l’infezione.
Secondo i FortiGuard Labs di Fortinet, il famigerato Snake Keylogger ampiamente distribuito nell’attacco informatico in corso contro l’Ucraina è un malware basato su .NET che è stato avvistato per la prima volta nell’arena delle minacce informatiche alla fine del 2020. Il malware è progettato per rubare dati sensibili, come credenziali utente, tasti premuti, screenshot e dati nella clipboard. Nel luglio 2021, Snake Keylogger era tra le prime 10 famiglie di malware più popolari che impattavano più utenti compromessi in tutto il mondo.
Un altro payload diffuso in quest’ultimo attacco informatico trattato dalla ricerca CERT-UA soprannominato Formbook appartiene anche ai campioni di malware di furto di informazioni più prevalenti, superando anche il famigerato Trickbot Trojan bancario. Formbook è presente nel panorama delle minacce informatiche dal 2016 come malware volto a rubare credenziali da più browser web, monitorare e loggare i tasti premuti, scaricare ed eseguire file tramite il server C&C.
Rilevamento dell’attività UAC-0041: Regole Sigma per individuare l’ultima ondata di infezioni da Formbook e Snake Keylogger
Per aiutare gli operatori di sicurezza a rilevare proattivamente le intrusioni associate agli ultimi attacchi UAC-0041 contro l’Ucraina, la piattaforma di Detection as Code di SOC Prime offre un set di regole Sigma curate. Per una ricerca di contenuti ottimizzata, tutti i contenuti di rilevamento sono taggati con “CERT-UA#5056” in base alla panoramica della campagna dettagliata nell’avviso CERT-UA#5056.
Regole Sigma per rilevare dettagli della campagna Formbook e Snake Keylogger in CERT-UA#5056
Per consultare l’intera lista delle regole di rilevamento e delle query di caccia che coprono l’attività malevola UAC-0041, premere il pulsante Detect & Hunt qui sotto. Puoi anche esplorare il motore di ricerca delle minacce informatiche di SOC Prime per approfondire le regole Sigma mirate alla rilevazione UAC-0041, oltre ad accedere a metadati contestuali estesi, come riferimenti MITRE ATT&CK® e CTI, descrizioni CVE e altro.
pulsante Detect & Hunt Esplora contesto delle minacce
Contesto MITRE ATT&CK®
Per ottenere approfondimenti sul contesto degli attacchi informatici UAC-0041 mirati alla distribuzione di Formbook e Snake Keylogger, le regole Sigma sopra menzionate sono allineate con il framework MITRE ATT&CK® che affronta le tattiche e le tecniche corrispondenti:
Tactics | Techniques | Sigma Rule |
Initial Access | Phishing (T1566) |
