Rilevamento Attacchi UAC-0057: Un’ondata di Attività Avversarie che Distribuiscono PICASSOLOADER e Cobalt Strike Beacon

[post-views]
Luglio 25, 2024 · 4 min di lettura
Rilevamento Attacchi UAC-0057: Un’ondata di Attività Avversarie che Distribuiscono PICASSOLOADER e Cobalt Strike Beacon

I difensori hanno osservato un’improvvisa impennata nell’attività avversaria del gruppo di hacker UAC-0057 che prende di mira le agenzie governative locali ucraine. Gli attaccanti distribuiscono file dannosi contenenti macro mirate al lancio di PICASSOLOADER sui computer presi di mira, il che porta alla consegna di Cobalt Strike Beacon

Rileva l’attività di UAC-0057 coperta nell’Allerta CERT-UA#10340

Dallo scoppio della guerra su larga scala, il collettivo di hacker UAC-0057 ha ripetutamente preso di mira organizzazioni ucraine. Per rilevare l’ultima campagna di UAC-0057 e analizzare retrospettivamente l’attività del gruppo, i difensori informatici possono fare affidamento sulla Piattaforma di SOC Prime per la difesa informatica collettiva, che offre una suite completa di prodotti per l’Ingegneria di Rilevamento basata sull’IA, la Caccia Automatica alle Minacce e la Validazione dello Stack di Rilevamento. 

Seguendo il link sottostante, i professionisti della sicurezza possono accedere alla suite completa di rilevamento che affronta l’ultima attività di UAC-0057. In alternativa, gli esperti possono navigare nel Marketplace per il Rilevamento delle Minacce filtrando le rilevazioni con il tag “CERT-UA#10340” basato sull’ID dell’allerta. 

Regole Sigma per il rilevamento degli attacchi di UAC-0057 basate sull’allerta CERT-UA#10340

Tutti gli algoritmi di rilevamento sono mappati al framework MITRE ATT&CK®, arricchito con CTI e metadati attuabili, e sono pronti per essere distribuiti su decine di piattaforme di analisi della sicurezza native nel cloud e on-premises. 

Per ottenere la suite di rilevamento più ampia che affronta le tattiche, le tecniche e le procedure di UAC-0057, gli ingegneri della sicurezza possono accedere alla collezione di regole Sigma rilevanti cliccando sul pulsante Esplora Rilevazioni qui sotto.

pulsante Esplora Rilevazioni

The l’allerta CERT-UA dedicata fornisce anche una raccolta di IOC per identificare gli attacchi legati alla campagna più recente di UAC-0057. Affidandosi a Uncoder AIdi SOC Prime, i difensori possono semplificare la corrispondenza degli IOC convertendo istantaneamente l’intelligence sulle minacce rilevanti in query personalizzate ottimizzate per le prestazioni, adatte al formato linguistico del SIEM o EDR scelto e pronte a essere eseguite nell’ambiente selezionato.

Analisi dell’Attacco UAC-0057

Il gruppo UAC-0057, noto anche come GhostWriter, ha lanciato numerose operazioni offensive principalmente mirate a enti statali ucraini nel corso del 2023. Ad esempio, a settembre 2023, UAC-0057 ha lanciato una campagna dannosa contro il governo ucraino e le istituzioni educative, abusando di una vulnerabilità zero-day di WinRAR (CVE-2023-38831) per consegnare PICASSOLOADER. Nell’estate del 2023, il gruppo ha utilizzato lo stesso loader per infettare reti mirate con njRAT.

A luglio 2024, CERT-UA ha osservato un’improvvisa impennata nell’attività del gruppo. Gli avversari hanno armato file contenenti macro dannose per diffondere PICASSOLOADER and Cobalt Strike Beacon sui sistemi colpiti. 

Secondo l’ allerta CERT-UA più recente sull’attività di UAC-0057, i contenuti dei file scoperti con macro (“oborona.rar,” “66_oborona_PURGED.xls,” “trix.xls,” “equipment_survey_regions_.xls,” “accounts.xls,” “spreadsheet.xls,” “attachment.xls,” “Podatok_2024.xls”) sono collegati alla riforma del governo locale, tassazione e indicatori finanziario-economici.

Basato sulla ricerca CERT-UA, UAC-0057 potrebbe aver preso di mira sia gli specialisti degli uffici di progetto che i loro omologhi tra i dipendenti delle autorità locali pertinenti in Ucraina.

Contesto MITRE ATT&CK

Sfruttare MITRE ATT&CK fornisce un’ampia visibilità sui modelli di comportamento relativi all’attività malevola più recente di UAC-0057 che prende di mira le agenzie governative locali ucraine. Esplora la tabella sottostante per vedere l’elenco completo delle regole Sigma dedicate che affrontano le relative tattiche, tecniche e sotto-tecniche di ATT&CK.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento degli Attacchi UAC-0226: Nuova Campagna di Cyber-Spionaggio Contro Hub di Innovazione e Entità Governative Ucraini con il GIFTEDCROOK Stealer
Blog, Ultime Minacce — 4 min di lettura
Rilevamento degli Attacchi UAC-0226: Nuova Campagna di Cyber-Spionaggio Contro Hub di Innovazione e Entità Governative Ucraini con il GIFTEDCROOK Stealer
Veronika Telychko
Rilevamento dell’attacco UAC-0219: Una nuova campagna di cyber-spionaggio utilizza un PowerShell Stealer WRECKSTEEL
Blog, Ultime Minacce — 4 min di lettura
Rilevamento dell’attacco UAC-0219: Una nuova campagna di cyber-spionaggio utilizza un PowerShell Stealer WRECKSTEEL
Veronika Telychko
Rilevamento degli attacchi UAC-0200: attività di cyber-spionaggio che prende di mira il settore dell’industria della difesa e le forze armate ucraine utilizzando DarkCrystal RAT
Blog, Ultime Minacce — 4 min di lettura
Rilevamento degli attacchi UAC-0200: attività di cyber-spionaggio che prende di mira il settore dell’industria della difesa e le forze armate ucraine utilizzando DarkCrystal RAT
Veronika Telychko