Rilevamento degli attacchi Trident Ursa alias Gamaredon APT: hacker sostenuti dalla Russia intensificano l’attività offensiva prendendo di mira una raffineria di petrolio in un paese NATO

Dall’invasione su larga scala dell’Ucraina da parte della Russia nel febbraio 2022, il famigerato gruppo di hacker russi affiliato Trident Ursa, noto anche come Armageddon APT aka Gamaredon o UAC-0010 ha lanciato le sue operazioni offensive prendendo di mira l’Ucraina e i suoi alleati. Per oltre dieci mesi, il collettivo di hacker ha condotto una serie di attacchi informatici di phishing coperti nel corrispondente CERT-UA avvisi ed sta continuamente intensificando la sua attività dannosa.

I ricercatori di cybersecurity monitorano da vicino le operazioni offensive del gruppo UAC-0010, che rimane uno degli APT più intrusivi e focalizzati contro l’Ucraina e i suoi alleati sulla linea del fronte cibernetico. Con Trident Ursa che tenta di colpire una grande compagnia di raffineria di petrolio in un paese della NATO, i difensori cibernetici devono essere equipaggiati con capacità difensive proattive per identificare tempestivamente l’intrusione.

Rileva l’attività avversaria di Trident Ursa (UAC-0010)

L’attività dannosa del gruppo di cyber-spionaggio sostenuto dalla Russia, noto principalmente come Armageddon APT, Gamaredon, o Trident Ursa, è attualmente in aumento nel panorama delle minacce informatiche. La piattaforma Detection as Code di SOC Prime è progettata per aiutare i difensori di tutto il mondo a sventare proattivamente gli attacchi e aiutare l’intera comunità a ottenere un vantaggio competitivo nella guerra informatica in corso. SOC Prime lotta in prima linea nella guerra cibernetica aiutando l’Ucraina e i suoi alleati a proteggere il paese dall’aggressione russa migliorando le capacità difensive con le tecnologie Sigma e MITRE ATT&CK® tecnologie.

Per aiutare le organizzazioni ad identificare tempestivamente l’attività offensiva di Trident Ursa, la piattaforma SOC Prime ha rilasciato un insieme di regole Sigma dedicate sviluppate dai nostri contributori di contenuti Threat Bounty, Wirapong Petshagun and Kaan Yeniyol. Segui il link qui sotto per accedere immediatamente a questi algoritmi mappati all’ultimo framework MITRE ATT&CK v12 e approfondisci il loro contesto di minacce informatiche:

Regole Sigma per rilevare l’attività dannosa più recente di Trident Ursa

La regola Sigma di Wirapong Petshagun affronta la tattica Command and Control con il protocollo Application Layer (T1071) usato come tecnica principale, mentre l’algoritmo di rilevamento creato da Kaan Yeniyol affronta la tattica di Esecuzione e la corrispondente tecnica Scheduled Task/Job (T1053).

La piattaforma SOC Prime cura anche un’altra regola Sigma per rilevare le ultime campagne maligne di Gamaredon APT aka UAC-0010. Questa rilevazione scritta dal prolifico sviluppatore di Threat Bounty, Kyaw Pyiyt Htet (Mik0yan) affronta le tattiche di Persistenza e Evasione Difensiva rappresentate dalle corrispondenti tecniche Boot or Logon Autostart Execution (T1547) e Modify Registry (T1112) ATT&CK.

Tutte le regole Sigma sopra possono essere utilizzate su oltre 15+ soluzioni SIEM, EDR, XDR e piattaforme di analisi dei dati.

Aspiri a padroneggiare le tue abilità Sigma e ATT&CK mentre contribuisci a un futuro più sicuro? Unisciti al Threat Bounty Program, che consente agli aspiranti autori di contenuti di codificare un futuro CV, affinare le abilità professionali attraverso competenze condivise e monetizzare i loro contenuti di rilevamento.

Per accedere all’elenco completo delle regole Sigma per il rilevamento delle attività avversarie di UAC-0010, clicca il pulsante Esplora Rilevamenti qui sotto. Gli ingegneri della sicurezza possono controllare gli algoritmi di rilevamento pertinenti filtrati con il tag personalizzato “UAC-0010” ed esplorare metadati, come contesto ATT&CK, link CTI, binari e altro ancora.

pulsante Esplora Rilevamenti

Dallo scoppio della guerra su larga scala in Ucraina, il paese è stato sotto costante attacco informatico da parte del gruppo di hacker russi affiliato conosciuto dai difensori cibernetici con una varietà di pseudonimi, tra cui Armageddon APT, Gamaredon, Trident Ursa, Shuckworm, UAC-0010, e Primitive Bear. Secondo il Servizio di Sicurezza dell’Ucraina, il collettivo di hacker è legato al Servizio Federale di Sicurezza della Russia e mira a lanciare attività di intelligence e sovversive contro l’Ucraina e gli alleati della NATO nel dominio cibernetico.

Il gruppo APT ha sfruttato attivamente il vettore di attacco di phishing. I ricercatori di cybersecurity CERT-UA si sforzano costantemente di attirare l’attenzione dei difensori cibernetici sull’attività dannosa in costante aumento di questo gruppo che identificano come UAC-0010. Gli attori delle minacce hanno lanciato un’ondata di attacchi di phishing principalmente mirati a enti statali ucraini ad aprile e maggio, in cui hanno sfruttato il malware GammaLoad.PS1 e la sua versione aggiornata, GammaLoad.PS1_v2. Ad agosto 2022, hanno utilizzato GammaLoad e i payload GammaSteel per infettare i sistemi compromessi in un’altra campagna di phishing. In un attacco più recente di novembre, è stato osservato che il collettivo di hacker stava diffondendo massicciamente email falsificate con il mittente camuffato come il Servizio Speciale di Comunicazioni dello Stato ucraino usando un allegato malevolo con un file HTML che attivava una catena di infezione.

L’ultimo rapporto di Palo Alto Networks Unit 42 fornisce approfondimenti sulle crescenti minacce attribuite all’attività avversaria di Trident Ursa. In base alla loro ricerca, il team di Unit 42 ha ampliato il suo ambito di attacchi al di là dell’Ucraina. All’inizio di settembre 2022, gli attori delle minacce hanno tentato senza successo di compromettere una grande compagnia di raffinazione del petrolio in un paese che appartiene ai membri della NATO, aumentando così un conflitto sulla linea del fronte cibernetico.

Il famigerato gruppo di hacker affiliato alla Russia sta ponendo sfide scoraggianti alle forze difensive, migliorando continuamente i loro TTP avversari e potenziando le tecniche di evasione del rilevamento. Ad esempio, gli attori delle minacce applicano la tecnica DNS fast flux per amplificare la resilienza delle loro operazioni dannose e ostacolare le procedure di analisi anti-malware. Altre tecniche avversarie usate da Trident Ursa includono il bypass DNS tramite servizi web legittimi e Telegram Messenger e la nascondere gli assegnamenti IP reali usando sottodomini per le loro operazioni dannose piuttosto che domini radice.

Trident Ursa applica comunemente un insieme di metodi avversari multipli per compromettere inizialmente i sistemi di destinazione tramite codice VBScript e consegna frequentemente contenuti dannosi tramite allegati di file HTML usati come esche di phishing.

Come potenziali misure di mitigazione, Unit 42 raccomanda di implementare una soluzione di sicurezza DNS affidabile e monitorare accuratamente tutto il traffico di rete in comunicazione con AS 197695.

Trident Ursa aka Gamaredon APT è un collettivo di hacking adattivo che espande continuamente il suo toolkit avversario, sfruttando nuove tecniche di offuscamento e approfittando di nuovi domini, il che rimane una minaccia per l’Ucraina e i suoi alleati. Per resistere proattivamente alle capacità offensive, esplora il nostro Motore di Ricerca delle Regole Sigma e equipaggiati con le rilevazioni più rilevanti contro minacce attuali ed emergenti insieme a una profonda intelligence sulle minacce informatiche.