Russia-Linked APT28 (UAC-0028) Threat Actors Spread CredoMap_v2 Malware in a Phishing Attack on Ukraine
Indice:
Nel corso di una cyber guerra in corso, i collettivi di hacker legati alla Russia stanno cercando nuovi modi per paralizzare le organizzazioni ucraine nel dominio cibernetico. Il 6 maggio 2022, CERT-UA ha emesso un avviso avvertendo di un altro attacco di phishing rivolto agli enti statali ucraini. L’attacco informatico è stato attribuito all’attività malevola dei noti attori delle minacce identificati come APT28 (alias Fancy Bear APT) noto anche come UAC-0028.
Analisi dell’Attacco Informatico APT28
L’ultimo attacco informatico ha coinvolto lo spoofing delle e-mail con gli attori delle minacce che camuffavano il loro messaggio come avviso di sicurezza da CERT-UA. Gli avversari miravano a ingannare le vittime per aprire un archivio RAR protetto da password malevolo allegato all’email che avviava una catena di infezione. Una volta aperto, quest’ultimo conteneva un file SFX che, a sua volta, portava al dispiegamento di software malevolo chiamato CredoMap_v2, la versione aggiornata di un info stealer. Il malware utilizzato applica il protocollo HTTP per l’esfiltrazione dei dati, che consente di inviare credenziali rubate a una risorsa web distribuita sulla piattaforma open-source Pipedream.
Secondo il Servizio Statale per le Comunicazioni Speciali e la Protezione dell’Informazione dell’Ucraina (SSSCIP), il gruppo di hacker APT28/UAC-0028 è stato anche individuato dietro una serie di attacchi informatici all’infrastruttura critica dell’Ucraina a marzo 2022.
In altri attacchi informatici del gruppo di hacker APT28, è stato osservato che gli attori delle minacce prendevano di mira enti governativi europei e istituzioni militari. Hanno applicato vettori di attacco simili, comprese e-mail di phishing che rilasciavano varianti di malware dopo aver abilitato una macro malevola. In precedenza, gli aggressori sono stati osservati in una campagna di spionaggio cibernetico che distribuiva il noto trojan Zebrocy e malware Cannon attraverso e-mail che utilizzavano il tema di tendenza relativo alla catastrofe del Lion Air Boeing 737 come esca di phishing.
Per ridurre al minimo i rischi di infezione da software malevolo, CERT-UA raccomanda fortemente di tenere d’occhio le e-mail con allegati protetti da password e quelli relativi agli argomenti più aggiornati e degni di nota che possono servire da allettamento di phishing mirato a compromettere le vittime aprendo i file all’interno. Le organizzazioni dovrebbero applicare le politiche di restrizione del software che consentono di bloccare i file EXE attraverso le impostazioni del sistema operativo e le misure di sicurezza corrispondenti.
Regole Sigma per Rilevare l’Attacco APT28 (UAC-0028) che Sfrutta Malware CredoMap_v2
Per garantire il rilevamento proattivo dell’attività malevola associata ad APT28, compresa l’ultima campagna CredoMap_v2, il Team SOC Prime ha sviluppato un set di regole Sigma dedicate:
Regole Sigma per Rilevare l’Attività Malevola di UAC-0028
Iscriversi alla piattaforma Detection as Code di SOC Prime per ottenere tutti i contenuti relativi alla recente campagna APT28 contro l’Ucraina o eseguire una ricerca personalizzata sfruttando il tag #UAC-0028 per rivelare altre rilevazioni correlate.
Gli ingegneri del rilevamento possono anche cacciare facilmente le minacce associate all’attività malevola di UAC-0028 in evidenza con un modulo Quick Hunt dedicato della piattaforma.
Contesto MITRE ATT&CK®: Attacco Phishing di APT28
Per un contesto approfondito dietro l’attacco informatico di phishing più recente da parte di APT28/UAC-0028 rivolto all’Ucraina, gli algoritmi di rilevamento citati sopra sono allineati con il framework MITRE ATT&CK che affronta le tattiche e tecniche appropriate:
