Rilevamento di attacchi phishing UAC-0050: Il gruppo supportato dalla Russia diffonde massivamente email di phishing relative alle tasse ed esplora LITEMANAGER
Indice:
Il nefasto gruppo di hacker UAC-0050, noto per i suoi persistenti attacchi di phishing contro l’Ucraina, è stato osservato mentre distribuiva massicciamente email contraffatte legate alle tasse con allegati PDF che imitano richieste dal Servizio fiscale statale dell’Ucraina e sfruttava uno strumento LITEMANAGER per ottenere accesso remoto non autorizzato ai sistemi mirati.
Rileva gli attacchi di phishing UAC-0050 coperti nell’Avviso CERT-UA#11776
Gli aumenti dei volumi di minacce finanziariamente motivate che utilizzano il phishing come vettore di attacco e sono legate al gruppo di hacker russo UAC-0050 spingono le squadre di sicurezza a migliorare la consapevolezza sulla cybersecurity e rafforzare le difese della propria organizzazione. Per aiutare a contrastare gli attacchi da parte di UAC-0050 utilizzando LITEMANAGER per accessi remoti non autorizzati e coperti nella più recente ricerca CERT-UA#11776, la piattaforma SOC Prime per la difesa cibernetica collettiva ha curato un elenco dedicato di algoritmi di rilevamento pertinenti.
Premi il pulsante Esplora Rilevamenti per approfondire l’intera collezione di regole Sigma pertinenti allineate con MITRE ATT&CK®, arricchite con CTI e metadati operativi su misura, e pronte per essere distribuite nel formato linguistico scelto compatibile con oltre 30 soluzioni SIEM, EDR e Data Lake.
Con l’aumento delle campagne di cyber-spionaggio e delle minacce finanziariamente motivate attribuite all’UAC-0050, gli ingegneri della sicurezza potrebbero cercare più contenuti di rilevamento per proteggere l’infrastruttura della loro organizzazione dagli attacchi del gruppo. Cercando direttamente Threat Detection Marketplace per rilevamenti pertinenti usando il tag personalizzato “UAC-0050”, le squadre di sicurezza possono migliorare le loro difese proattive contro l’attività persistente del gruppo.
Le squadre di sicurezza possono anche avvalersi di Uncoder AI per accelerare il confronto degli IOC e ricercare IOC relativi alle minacce UAC-0050 dalla ricerca pertinente CERT-UA. Uncoder AI consente di convertire automaticamente gli IOC da qualsiasi formato non binario in query di caccia personalizzate che corrispondono al formato SIEM o EDR scelto.
Descrizione dell’attacco UAC-0050 utilizzando LITEMANAGER
I ricercatori CERT-UA hanno monitorato a fondo l’attività di lungo periodo del gruppo UAC-0050 legato alla Russia e hanno recentemente pubblicato una ricerca approfondita evidenziando tre aree chiave della sua attività offensiva, tra cui spionaggio cibernetico, furto finanziario e operazioni di disinformazione note con il marchio “Fire Cells Group”. highlighting three key areas of its offensive activity, including cyber espionage, financial theft, and disinformation operations known under the “Fire Cells Group” brand.
UAC-0050 è un gruppo di hacker legato alla Russia attivo dal 2020, principalmente mirato al settore pubblico in Ucraina e che espande anche il suo raggio d’azione agli alleati del paese. Gli avversari utilizzano campagne di phishing per distribuire malware come Remcos RAT, impersonando spesso agenzie governative ucraine in email contraffatte con allegati dannosi. In particolare, UAC-0050 è stato ampiamente sfruttato come strumento di gestione remota, come il software Remote Utilities, nelle loro campagne contro l’Ucraina.
L’ultimo avviso CERT-UA CERT-UA#11776 ha scoperto una distribuzione su larga scala di email di phishing legate alle tasse con allegati PDF che mascherano richieste dal Servizio fiscale statale dell’Ucraina. La campagna in corso è guidata da motivi finanziari, prendendo di mira principalmente i contabili aziendali che utilizzano sistemi bancari remoti. In alcuni casi, come mostrato da analisi forensi informatiche, il tempo tra l’infezione iniziale e il furto di fondi può essere inferiore a un’ora.
Gli allegati sfruttati inviati attraverso il vettore di attacco phishing contengono collegamenti a servizi di condivisione file (qaz.im, qaz.is, qaz.su), che, se seguiti, scaricheranno un archivio dannoso. Quest’ultimo, con diversi livelli annidati, contiene un archivio protetto da password chiamato “Richiesta Elettronica di Documenti Fiscali.pdf.rar”, che a sua volta include un file SFX chiamato “Richiesta Elettronica di Documenti Fiscali.pdf.exe”.
Aprendo quest’ultimo verrà visualizzato un documento esca e verrà lanciato un pacchetto MSI del software di gestione remota LITEMANAGER sul computer, creando le condizioni tecniche per un accesso remoto nascosto al sistema.
Misure di mitigazione potenziali contro gli attacchi finanziari motivati dall’UAC-0050 possono includere la configurazione delle misure di sicurezza del sistema operativo integrate e l’utilizzo completo delle capacità di autenticazione nei sistemi di informazioni bancarie per autenticare le operazioni dei contabili tramite codici una tantum.
La suite completa di prodotti di SOC Prime per l’ingegneria della rilevazione basata sull’AI, la caccia automatizzata alle minacce e la rilevazione avanzata delle minacce equipaggia le squadre di sicurezza con una soluzione completa per una difesa proattiva per minimizzare i rischi di minacce finanziarie e violazioni dei dati.
Contesto MITRE ATT&CK
Sfruttare MITRE ATT&CK offre una visione dettagliata del contesto degli ultimi attacchi UAC-0050 che sfruttano LITEMANAGER. Consulta la tabella di seguito per visualizzare l’insieme completo di regole Sigma dedicate che affrontano le corrispondenti tattiche, tecniche e sotto-tecniche ATT&CK.
Tactics | Techniques | Sigma Rule |
Initial Access | Phishing: Spearphishing Attachment | |
Execution | User Execution: Malicious File (T1204.002) | |
Defense Evasion | Obfuscated Files or Information (T1027) | |
Masquerading: Double File Extension (T1036.007) | ||
Command and Control | Ingress Tool Transfer (T1105) | |
Remote Access Software (T1219) | ||
