Rilevamento di SmokeLoader: Il Gruppo UAC-0006 Lancia una Nuova Campagna di Phishing Contro l’Ucraina

Attenzione! I difensori informatici sono stati avvisati di una nuova ondata di attacchi di phishing che sfruttano i soggetti delle email relative alle fatture con la catena di infezioni innescata dall’apertura di un file VBS dannoso, che porta alla diffusione del malware SmokeLoader sui dispositivi colpiti. Secondo l’indagine, l’attività dannosa può essere attribuita al gruppo di hacker motivati finanziariamente UAC-0006 che è stato osservato in attacchi precedenti contro l’Ucraina utilizzando anch’esso le stesse varianti dannose e il vettore di attacco phishing.

Analisi delle Operazioni Offensiva di UAC-0006 che Diffonde il Malware SmokeLoader

Poco più di un mese dopo gli attacchi di phishing da parte degli hacker motivati finanziariamente UAC-0006 diretti all’Ucraina, i ricercatori di CERT-UA hanno rivelato un’altra campagna che abusa di esche con soggetti finanziari e che distribuisce anche il malware SmokeLoader. Gli hacker diffondono massivamente email con soggetti legati alle fatture e allegati che contengono un file VBS destinato a essere installato ed eseguito del malware SmokeLoader sui dispositivi colpiti.

In questa campagna coperta nell’allerta certificata CERT-UA#6999, il file di configurazione del malware contiene 45 nomi di dominio, 5 dei quali usano il record A e sono collegati al fornitore russo. Per mantenere la persistenza, l’iterazione del malware usata in questi attacchi è capace di definire i record A correnti per i nomi di dominio collegandosi al server DNS corrispondente. Gli avversari UAC-0006 applicano gli account email compromessi in modo simile ai modelli di comportamento osservati nelle campagne precedenti contro l’Ucraina.

Come misure di mitigazione potenziali, i difensori raccomandano di limitare l’uso di Windows Script Host e PowerShell per minimizzare la minaccia.

Rilevamento delle Attività UAC-0006 Coperte nell’Allerta CERT-UA#6999

Gli incrementi nei volumi delle operazioni offensive legate a UAC-0006 richiedono un’ultra-reponsività dai difensori informatici per sventare tempestivamente gli attacchi correlati. La piattaforma SOC Prime per la difesa informatica collettiva fornisce regole Sigma curate per aiutare le organizzazioni a difendersi proattivamente dagli attacchi del gruppo che distribuisce massivamente SmokeLoader e identificare tempestivamente le TTP rilevanti degli avversari.

Premi il Esplora Rilevamenti pulsante qui sotto per ottenere l’intero elenco delle regole Sigma per il rilevamento degli attacchi UAC-0006 menzionato nell’allerta CERT-UA#6999. Per accelerare la ricerca di contenuti SOC, applica i tag rilevanti “UAC-0006” o “CERT-UA#6999”. Tutti gli algoritmi di rilevamento sono arricchiti dal contesto della minaccia informatica e possono essere automaticamente convertiti in decine di formati di lingua in uso.

Esplora Rilevamenti

Gli ingegneri della sicurezza possono anche sfruttare Uncoder AI per cercare istantaneamente gli IOC elencati nell’ allerta CERT-UA#6999 creando query personalizzate IOC ed eseguendole nell’ambiente selezionato in tempo reale.

Contesto MITRE ATT&CK

I difensori informatici possono anche ottenere approfondimenti sul contesto dietro agli attacchi di phishing da parte di UAC-0006 in maggiore dettaglio esplorando la tabella sottostante, che fornisce l’elenco delle tattiche e tecniche avversarie rilevanti secondo ATT&CK: