Rilevamento del Malware Jester Stealer: Attacchi Phishing che Diffondono Malware Ruba-Informazioni dal Gruppo di Hacker UAC-0104
Indice:
Un’ondata di nuovi attacchi informatici di phishing ha recentemente travolto l’Ucraina. Subito dopo un attacco degli attori delle minacce APT28 che diffonde il software dannoso per il furto di informazioni CredoMap_v2, un altro gruppo di hacker ha recentemente distribuito email di phishing che implementano malware chiamato Jester Stealer, come segnalato da CERT-UA. Questa ultima attività dannosa è stata seguita come UAC-0104 in base ai modelli di comportamento degli avversari.
Analisi di Jester Stealer dell’ultimo attacco dell’UAC-0104
Software di furto d’informazioni, che permettono agli aggressori di esfiltrare i dati sensibili delle vittime, stanno evolvendo costantemente insieme al phishing come uno dei vettori di attacco più efficaci. I campioni di malware per il furto di informazioni comunemente esfiltrano dati da browser web, client MAIL/FTP/VPN, portafogli di criptovalute, gestori di password, ecc. La campagna Jester Stealer recentemente rilevata sfrutta il malware per il furto di informazioni scoperto da Cyble Research Labs nel febbraio 2022.
Nell’ultimo attacco informatico attraverso email di phishing infettate da Jester Stealer, gli attori delle minacce hanno sfruttato il tema dell’“attacco chimico” come esca per ingannare gli utenti ad aprire email che contenevano un link a un file XLS con una macro dannosa. Dopo aver aperto il file e abilitato la macro, quest’ultima lancia un file eseguibile, che infetta ulteriormente il sistema con la suddetta variante di malware per il furto di informazioni. I dati esfiltrati possono quindi essere condivisi con gli aggressori utilizzando il servizio di messaggistica Telegram tramite indirizzi proxy definiti statisticamente, inclusa la rete TOR. Il software di furto di informazioni utilizzato dal gruppo UAC-0104 utilizza una serie di tecniche per ostacolare l’analisi del malware e manca di un meccanismo di persistenza. Attraverso una serie di aggiornamenti, il malware ha gradualmente migliorato le sue capacità, comprese la crittografia AES-CBC-256, l’archiviazione dei log in memoria, oltre al supporto per le funzionalità anti-sandbox e anti-VM. Inoltre, Jester Stealer si cancella dopo aver completato l’operazione dannosa permettendo agli attori delle minacce di eludere il rilevamento.
Rilevare il Malware Jester Stealer
Per consentire ai professionisti della sicurezza informatica di individuare tempestivamente le infezioni causate da Jester Stealer e rilevare proattivamente gli attacchi informatici attribuiti agli attori delle minacce UAC-0104, la piattaforma di SOC Prime cura un set di algoritmi di rilevamento dedicati disponibili di seguito:
Regole Sigma per rilevare l’attività dannosa correlata al gruppo UAC-0104
I professionisti della cybersecurity sono invitati ad accedere alla piattaforma di SOC Prime con il loro attuale account o registrarsi per un accesso immediato al sopra menzionato contenuto di rilevamento. Le capacità della piattaforma permettono di cercare direttamente gli elementi di contenuto rilevanti usando un tag #UAC-0104 associato al collettivo di hacking corrispondente.
Inoltre, questo kit di regole può essere sfruttato per cercare minacce informatiche correlate all’attività dannosa del gruppo UAC-0104 utilizzando il Quick Hunt di SOC Prime, rendendo la caccia più semplice che mai.
Contesto MITRE ATT&CK®: Nuovi Attacchi di Phishing da parte dell’UAC-0104
Per ottenere informazioni sul comportamento degli aggressori dietro gli ultimi attacchi UAC-0104 che coinvolgono il malware Jester Stealer, le rilevazioni basate su Sigma sopra menzionate sono mappate al framework MITRE ATT&CK che affronta le corrispondenti tattiche e tecniche:
