Rilevamento del Malware Metasploit Meterpreter: Nuovo Attacco di Phishing contro Entità Governative Ucraine Collegato ai Gruppi UAC-0098 e TrickBot
Indice:
Il 28 aprile 2022, CERT-UA ha pubblicato un avviso notificando dell’ultimo attacco informatico di phishing contro le entità del governo ucraino utilizzando il framework Metasploit. L’attività dannosa può essere attribuita ai modelli di comportamento degli avversari di un gruppo monitorato come UAC-0098. Inoltre, si ritiene che questo attacco più recente sia tracciato all’attività del TrickBot , un famoso gruppo di ransomware legato alla Russia noto come operatore di botnet sofisticati che collabora con attori di minacce avanzate, come FIN6 and Ryuk, in campagne dannose mirate progettate per la distribuzione di malware.
Cos’è il Payload di Metasploit Meterpreter: Analisi dell’Attacco Informatico
Metasploit è un framework open-source per creare un ambiente di test di penetrazione per sviluppare, testare ed eseguire exploit. È uno strumento ampiamente adottato e potente utilizzato sia da attori delle minacce che da hacker etici per controllare le vulnerabilità su reti e server di interesse. Il framework Metasploit offre una varietà di strumenti e funzionalità per il test di penetrazione, incluso un noto Meterpreter.
Il malware Meterpreter distribuito nell’ultimo attacco informatico agli enti statali ucraini è un payload sofisticato che sfrutta comunicazioni crittografate, si inietta nel processo compromesso e può migrarsi agevolmente attraverso le reti, rendendo più semplice la distribuzione dell’infezione e lasciando insufficienti prove forensi.
Il 28 aprile 2022, CERT-UA ha rilasciato un avviso riportando una campagna di phishing che sfrutta un’esca a tema bellico e distribuisce file ISO dannosi. In particolare, gli attori della minaccia hanno diffuso falsi file del Decreto del Presidente dell’Ucraina che contenevano un file DOCX come esca, un file di collegamento LNK, uno script PowerShell e un file eseguibile. Una volta avviato, il file LNK attiva la catena di infezione eseguendo uno script PowerShell, che a sua volta apre un file DOCX, e quindi esegue un file EXE. Di conseguenza, il computer della vittima è infettato dal malware Meterpreter.
L’indagine di CERT-UA attribuisce la campagna ai gruppi UAC-0098 e TrickBot sostenuti dalla Russia, secondo le somiglianze osservate nei modelli di comportamento dannosi.
Regole Sigma per rilevare la campagna di UAC-0098 e Trickbot
Per proteggere l’infrastruttura dell’organizzazione contro gli attacchi informatici di phishing da parte degli hacker UAC-0098, inclusa l’ultima campagna che sfrutta Metasploit Meterpreter, il Team SOC Prime ha fornito un set di regole Sigma dedicate:
Regole Sigma per rilevare l’attività dannosa del gruppo UAC-0098
Registrati sulla piattaforma Detection as Code di SOC Prime per accedere a tutti i contenuti tramite il link sopra o condurre una ricerca personalizzata utilizzando il tag corrispondente #UAC-0098.
I professionisti della sicurezza possono anche cercare minacce relative all’attività dannosa di UAC-0098 utilizzando i contenuti di rilevamento sopra menzionati tramite Modulo Quick Hunt.
Contesto MITRE ATT&CK®
Per approfondire il contesto dell’ultimo attacco di phishing dei gruppi UAC-0098 e TrickBot che ha colpito gli enti statali ucraini con il Metasploit Meterpreter, tutte le regole Sigma rilevanti sono allineate con il framework MITRE ATT&CK affrontando le corrispondenti tattiche e tecniche:
Tactics | Techniques | Sigma Rules |
Initial Access | Phishing (T1566) | |
Defense Evasion | Subvert Trust Controls (T1553) | |
Signed Binary Proxy Execution (T1218) | ||
Masquerading (T1036) | ||
Execution | Command and Scripting Interpreter (T1059) |
