UAC-0149 attacca le forze di difesa ucraine utilizzando Signal, exploit CVE-2023-38831 e malware COOKBOX

[post-views]
Aprile 22, 2024 · 4 min di lettura
UAC-0149 attacca le forze di difesa ucraine utilizzando Signal, exploit CVE-2023-38831 e malware COOKBOX

The Attore della minaccia UAC-0149 prende di mira ripetutamente i governi e le organizzazioni militari ucraine utilizzando il malware COOKBOX. La ricerca più recente di CERT-UA dettaglia il nuovo attacco che sfrutta i messaggi di phishing di Signal e lo sfruttamento di CVE-2023-38831 per distribuire COOKBOX sugli obiettivi.

Dettagli sull’attacco UAC-0149

Il collettivo di hacker UAC-0149 ha condotto operazioni dannose contro l’Ucraina almeno dall’autunno 2023. A cavallo del 2024, CERT-UA ha rivelato un attacco mirato contro le Forze Armate dell’Ucraina coinvolgendo il famigerato malware COOKBOX distribuito tramite falsi messaggi di Signal.

Il 18 aprile, CERT-UA ha emesso un nuovo avviso avvertendo di una nuova ondata di intrusioni che sfruttano COOKBOX. Nell’ultima operazione attribuita a UAC-0149, gli hacker stanno prendendo di mira rappresentanti delle Forze di Difesa ucraine con messaggi di Signal dannosi che hanno documenti allegati infettati da malware. I falsi documenti riferiti alla candidatura per una posizione nel Dipartimento delle Operazioni di Pace delle Nazioni Unite sono consegnati tramite “Супровід.rar” archivio che contiene una vulnerabilità CVE-2023-38831 per il software WinRAR. Nel caso venga aperto, l’archivio RAR dannoso esegue il file CMD “супровід.pdf. cmd” che a sua volta apre un documento di phishing “DPO_SEC23-1_OMA_P-3_16-ENG.pdf” e attiva script PowerShell associati al malware COOKBOX

Notoriamente, il server di comando e controllo COOKBOX sfrutta il servizio DNS dinamico NoIP. In collaborazione con i rappresentanti di NoIP il nome di dominio corrispondente è stato già bloccato.

Dopo questo attacco, CERT-UA raccomanda vivamente agli amministratori di sistema di limitare gli utenti nell’esecuzione di utility come powershell.exe, wscript.exe, cscript.exe, mshta.exe e altre. Si consiglia di utilizzare meccanismi standard come SRP, AppLocker e impostazioni del registro.

Rileva l’attacco UAC-0149 coperto nell’avviso CERT-UA#9522

Con l’ondata crescente di attacchi UAC-0149 che sfruttano il malware COOKBOX, i professionisti della sicurezza stanno cercando un modo affidabile per individuare le intrusioni in tempo e difendersi proattivamente. La piattaforma SOC Prime per la difesa informatica collettiva aggrega un set curato di regole Sigma per rilevare l’attività più recente di UAC-0149 accompagnata da soluzioni avanzate di rilevazione e caccia delle minacce. Inoltre, i difensori informatici possono cercare lo stack di rilevamento rilevante applicando il tag personalizzato basato sull’ID dell’avviso CERT-UA “CERT-UA#9522“:

Regole Sigma per rilevare l’attività di UAC-0149 coperta nell’avviso CERT-UA#9522

Tutti gli algoritmi di rilevamento sono allineati al framework MITRE ATT&CK® v.14.1, arricchiti con intelligenza sulle minacce rilevanti e metadati azionabili, e sono istantaneamente convertibili in diversi formati linguistici SIEM, EDR e Data Lake per potenziare le vostre operazioni di Ingegneria della Rilevazione.

Gli esperti di cybersecurity che cercano una copertura più ampia degli attacchi UAC-0149 possono cliccare sul pulsante Esplora Rilevamenti qui sotto per accedere immediatamente a un ampio insieme di regole che affrontano i TTP e i modelli comportamentali del gruppo.

pulsante Esplora Rilevamenti

Per semplificare la vostra indagine sulla minaccia, fate affidamento su Uncoder AI, il primo co-pilota AI del settore per l’ingegneria della rilevazione, e cercate istantaneamente gli indicatori di compromissione forniti nell’ avviso CERT-UA#9522. Uncoder AI agisce come un impacchettatore di IOC, permettendo agli analisti CTI e SOC e ai Cacciatori di Minacce di elaborare senza intoppi gli IOCs e convertirli in query di caccia personalizzate pronte per essere eseguite nel SIEM o EDR di loro scelta.

UAC0149_IOCs_UncoderAI

Contesto MITRE ATT&CK

Sfruttare MITRE ATT&CK offre un’ampia visibilità sui modelli comportamentali relativi all’ultimo attacco UAC-0149. Esplorate la tabella qui sotto per vedere l’elenco completo delle regole Sigma dedicate che affrontano le tattiche, tecniche e sotto-tecniche ATT&CK corrispondenti.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Articoli correlati