Rilevamento di PicassoLoader e njRAT: Gli hacker di UAC-0057 perpetrano un attacco mirato contro entità pubbliche ucraine

I ricercatori di cybersecurity emettono un avviso riguardante un nuovo attacco informatico mirato del gruppo UAC-0057 contro funzionari pubblici ucraini sfruttando file XLS che contengono una macro dannosa diffondendo PicassoLoader malware. Il loader dannoso è in grado di rilasciare un’altra variante dannosa chiamata njRAT per diffondere ulteriormente l’infezione.

Distribuzione dei Malware PicassoLoader e njRAT da parte degli Hacker UAC-0057: Descrizione dell’Attacco

Il 7 luglio 2023, i ricercatori CERT-UA hanno scoperto un paio di documenti XLS, uno dei quali conteneva una macro legittima, mentre l’altro includeva una macro dannosa utilizzata dagli hacker nella fase iniziale dell’attacco. Quest’ultima mirava a decodificare, decifrare, mantenere la persistenza ed eseguire il malware dannoso PicassoLoader sui sistemi presi di mira. Gli aggressori hanno anche utilizzato PicassoLoader per scaricare, decifrare ed eseguire l’utilità di accesso remoto njRAT.

L’ultimo attacco può essere collegato al gruppo UAC-0057 noto anche come GhostWriter, che è stato dietro la campagna avversaria di giugno contro una delle università ucraine diffondendo PicassoLoader e Cobalt Strike Beacon. Nell’operazione offensiva in corso coperta nell’avviso corrispondente CERT-UA#6948, gli attaccanti UAC-0057 prendono di mira anche le autorità pubbliche ucraine.

L’indagine ha rivelato che il malware PicassoLoader non sarà distribuito dagli hacker se il sistema dispone di protezioni di sicurezza di prodotti Avast, FireEye e Fortinet.

Rilevamento degli Attacchi UAC-0057 Sfruttando PicassoLoader e njRAT

Per dotare i team di sicurezza con algoritmi di rilevamento pertinenti per individuare proattivamente gli ultimi attacchi informatici UAC-0057 contro l’Ucraina, la piattaforma SOC Prime per la difesa informatica collettiva aggrega un lotto di regole Sigma. Gli utenti possono ottenere questo stack di rilevamento delle minacce premendo il pulsante Esplora Rilevamenti qui sotto o applicando i tag personalizzati pertinenti “CERT-UA#6948” e “UAC-0057” associati all’avviso di sicurezza e agli identificatori dell’attore della minaccia.

Tutte le regole sono mappate al framework MITRE ATT&CK® v12, accompagnate da ampie informazioni sulle minacce, e compatibili con oltre 28 tecnologie SIEM, EDR e XDR per adattarsi alle esigenze specifiche di cybersecurity dell’organizzazione.

pulsante Esplora Rilevamenti

Per indagini semplificate, i team possono cercare IOC collegati al collettivo UAC-0057 con l’aiuto di Uncoder AI. Basta copiare e incollare i IOC elencati da CERT-UA nell’ultimo avviso in Uncoder AI e scegliere il tipo di contenuto mirato per costruire senza problemi una query IOC personalizzata che combaci con il tuo stack tecnologico e le attuali esigenze di sicurezza.

Contesto MITRE ATT&CK

Per esaminare un contesto più ampio legato all’operazione UAC-0057 più recente coperta nell’avviso CERT-UA#6948, tutte le regole Sigma correlate sono allineate a ATT&CK v12 indirizzando i TTP avversari pertinenti: