Attori delle Minacce Sfruttano E-Mail di Spear-Phishing che Imitano il Servizio UKR.NET per lo Spionaggio

Questo articolo evidenzia la ricerca originale fornita da CERT-UA: https://cert.gov.ua/article/37788 

Il 16 marzo 2022, il Computer Emergency Response Team dell’Ucraina CERT-UA ha identificato una campagna di spear-phishing mirata a infettare le organizzazioni ucraine con malware di spionaggio informatico. Con un basso livello di confidenza, date le tattiche utilizzate, CERT-UA associa l’attività identificata a uno dei principali collettivi APT28 supportati dalla Russia (UAC-0028). Lo spear-phishing è stato il principale vettore degli attacchi di APT28 almeno da giugno 2021. I prossimi passi degli avversari includono l’esfiltrazione dei dati o l’utilizzo delle email compromesse per ulteriori attacchi di spear-phishing su obiettivi precisi.

Campagna di Spear-Phishing Infetta Organizzazioni Ucraine Con Spyware: Indagine CERT-UA

L’indagine CERT-UA rivela una campagna di spear-phishing che distribuisce e-mail che imitano i messaggi di UKR.NET e contengono un codice QR con un URL codificato creato utilizzando uno dei servizi di URL-shortener. Aprendo questo URL, la vittima viene reindirizzata a un sito web che tenta di falsificare la pagina di reimpostazione della password di UKR.NET. I dati inseriti dall’utente tramite richiesta HTTP POST vengono inviati a una risorsa web implementata dagli attaccanti sulla piattaforma Pipedream.

Grafici forniti da CERT-UA che illustrano la campagna di spear-phishing mirata alla consegna di spyware

Indicatori Globali di Compromissione (IOCs)

hxxps://tinyurl[.]com/2p8kpb9v
hxxps://panelunregistertle-348.frge[.]io/
hxxps://eoy7zvsvn6xfcmy.m.pipedream[.]net
hxxps://eo9p1d2bfmioiot.m.pipedream[.]net/?usr=
hxxps://eoiw8lhjwuc3sh2.m.pipedream[.]net
panelunregistertle-348.frge[.]io
eo9p1d2bfmioiot.m.pipedream[.]net
eoiw8lhjwuc3sh2.m.pipedream[.]net
frge[.]io (2021-04-21)
pipedream[.]net (sito legittimo)

Query di Hunting Basate su IOC per Rilevare Phishing Su UKR.NET

Per consentire ai professionisti della sicurezza di convertire automaticamente gli IOC sopra menzionati in query personalizzate di hunting pronte per essere eseguite in quasi 20 degli ambienti SIEM o XDR più popolari, la piattaforma SOC Prime offre lo strumento Uncoder CTI — ora disponibile gratuitamente per tutti gli utenti registrati fino al 25 maggio 2022.

Anticipa le minacce informatiche in continua mutazione e non lasciare che gli attaccanti compromettano gli account della tua organizzazione e li sfruttino per i loro scopi malevoli. Un approccio collaborativo alla difesa informatica consente di ottimizzare i contenuti per il rilevamento delle minacce più nuovi e più accurati. Registrati su SOC Prime’s Detection as Code piattaforma subito per accedere a 23.000 regole di rilevamento curate che aiutano a migliorare la tua difesa informatica.

Alla luce dell’escalation delle minacce informatiche russe, SOC Prime fornisce oltre 2.000 regole Sigma per identificare possibili attacchi informatici di origine russa contro la tua infrastruttura. Notetolmente, tutte queste rilevazioni sono attualmente disponibili gratuitamente sotto l’ultima promozione Quick Hunt di SOC Prime. Basta cercare sulla nostra piattaforma Detection as Code con #stopwar, #stoprussian, e #stoprussianagression tag e inizia a fare hunting immediatamente con il modulo Quick Hunt. Puoi scopri di più sulla promozione Quick Hunt nel nostro articolo dedicato.