Gli attori di minaccia UAC-0056 distribuiscono il malware Cobalt Strike Beacon in un’altra campagna di phishing contro l’Ucraina
Indice:
Sulla scia del cyber-attacco del 5 luglio che ha preso di mira gli enti statali ucraini e attribuito al noto collettivo di hacker UAC-0056, un’altra campagna malevola lanciata da questo gruppo provoca scompiglio nel dominio cibernetico. L’11 luglio 2022, i ricercatori di sicurezza informatica del CERT-UA hanno avvertito la comunità globale di un attacco di phishing in corso che sfrutta un’oggetto esca e un allegato malevolo relativo al tema della guerra in Ucraina. Nell’ultimo cyber-attacco, gli attori delle minacce utilizzano ancora una volta il vettore di attacco delle email di phishing per distribuire malware Cobalt Strike Beacon. Questa volta, le email malevole vengono diffuse dagli account di posta elettronica compromessi degli enti governativi ucraini.
Rilevamento dell’attacco del Gruppo UAC-0056: Regole Sigma per identificare tempestivamente l’attività malevola
Per aiutare i professionisti della sicurezza informatica a identificare tempestivamente l’attività malevola del gruppo di hacker UAC-0056 legata alle ultime campagne email che prendono di mira l’Ucraina, la piattaforma di SOC Prime offre un set di algoritmi di rilevamento curati disponibili tramite il link sottostante:
Regole Sigma per individuare l’attività malevola degli attori della minaccia UAC-0056
Si prega di notare che solo gli utenti registrati di SOC Prime possono accedere alle regole Sigma insieme alle loro traduzioni a più formati SIEM, EDR e XDR.
Per facilitare e velocizzare la ricerca del contenuto di rilevamento pertinente, tutte le regole basate su Sigma sono etichettate di conseguenza come #UAC-0056 in base all’attività dell’avversario associata. Inoltre, il contenuto del rilevamento è allineato con il framework MITRE ATT&CK® che affronta le tattiche e le tecniche corrispondenti dell’avversario per garantire una visibilità completa nel contesto degli attacchi informatici correlati. Si prega di fare riferimento al nostro articolo di blog precedente sulla campagna email di UAC-0056 che prende di mira funzionari ucraini per approfondire il contesto delle minacce basato su ATT&CK.
I professionisti della sicurezza informatica registrati sulla piattaforma di SOC Prime possono anche esplorare l’elenco completo delle regole Sigma per rilevare il malware Cobalt Strike Beacon cliccando il pulsante Detect & Hunt qui sotto. Inoltre, SOC Prime offre il primo strumento di motore di ricerca del settore, che consente ai team di sicurezza di sfogliare un dato CVE, malware, APT o exploit e ottenere istantaneamente l’elenco delle regole Sigma correlate in congiunzione con contesti di minaccia approfonditi, come riferimenti MITRE ATT&CK, link CTI, eseguibili Windows collegati a rilevamenti e metadati più azionabili. Cliccare il pulsante Esplora il Contesto della Minaccia per trovare tutti i risultati di ricerca pertinenti per Cobalt Strike Beacon anche senza il processo di registrazione.
pulsante Detect & Hunt pulsante Esplora il Contesto della Minaccia
Distribuzione del Malware Cobalt Strike Beacon: Panoramica di un Altro Attacco di UAC-0056 Contro Funzionari Ucraini
L’allerta più recente CERT-UA#4941 avverte della distribuzione massiccia di email malevole con un oggetto relativo alla crisi umanitaria in Ucraina indotta dalla guerra su larga scala in corso scoppiata il 24 febbraio. Le email in questione hanno come allegato un documento XLS con un nome file esca simile che inganna le potenziali vittime ad aprirlo. Quest’ultimo contiene una macro malevola, che, se aperta, lancia un file eseguibile “baseupd.exe”, che a sua volta può portare a lasciar cadere Cobalt Strike Beacon sui sistemi bersagli.
Notevolmente, l’ultimo cyber-attacco condivide una serie di somiglianze con la precedente campagna malevola che prende di mira gli enti statali ucraini, compreso il tipo di malware scelto per diffondere l’infezione e i criminali informatici che sono dietro questa campagna email. Basato sui TTP dell’avversario, l’attacco informatico è anche attribuito al gruppo di hacker UAC-0056 noto anche come SaintBear.
L’attività malevola degli attori della minaccia UAC-0056 che prende di mira l’Ucraina ha una storia che risale alla campagna di phishing di marzo 2022 che diffonde campioni di malware Cobalt Strike Beacon, GrimPlant e GraphSteel. Inoltre, questi attori delle minacce sono anche collegati al cyber-attacco distruttivo contro l’Ucraina che sfrutta il malware di cancellazione dati WhisperGate .
È fortemente consigliato applicare l’autenticazione multi-fattore come un ulteriore strato di sicurezza email che consente alle organizzazioni di garantire una migliore protezione contro i cyber-attacchi che sfruttano il vettore di attacco delle email.
Iscriviti alla piattaforma Detection as Code di SOC Prime per trovare una soluzione completa per aiutare il tuo team a gestire senza sforzi la complessità delle minacce e le sfide della qualità dei dati, supportato dalla potenza della difesa informatica collaborativa. Cerchi nuove vie per potenziare le tue competenze di Threat Hunting e Detection Engineering? Unisciti al Programma Threat Bounty per trasformare il tuo insieme di competenze in benefici finanziari ricorrenti con prolifiche opportunità di riconoscimento tra i colleghi del settore e auto-avanzamento. Crea regole Sigma e YARA, condividile con la comunità e monetizza i tuoi sforzi di rilevamento con l’iniziativa crowdsourced di SOC Prime.
