UAC-0184 Abusa di Messenger e Siti di Incontri per Procedere con Attacchi contro il Governo e l’Esercito Ucraino

[post-views]
Aprile 18, 2024 · 4 min di lettura
UAC-0184 Abusa di Messenger e Siti di Incontri per Procedere con Attacchi contro il Governo e l’Esercito Ucraino

The Collettivo di hacking UAC-0184 è tornato, ancora una volta concentrandosi sulle Forze Armate dell’Ucraina. Gli avversari tentano di accedere ai computer presi di mira per rubare file e dati di messaggistica, secondo l’ultima ricerca CERT-UA.

Descrizione dell’ultimo attacco di UAC-0184

I difensori hanno osservato un significativo aumento nell’attività malevola del gruppo UAC-0184 per tutto il 2024. All’inizio dell’anno, gli hacker hanno lanciato una campagna di phishing contro l’Ucraina, utilizzando esche di phishing legate all’ambito militare and Remcos RAT malware come parte del loro toolkit offensivo.

Il 16 aprile, CERT-UA ha rilasciato un nuovo avvertimento focalizzato su una nuova ondata di operazioni offensive del gruppo. Nella più recente campagna malevola attribuita al gruppo UAC-0184, gli avversari stanno prendendo di mira i computer delle Forze Armate dell’Ucraina tentando di rubare dati sensibili. Come vettore d’attacco iniziale, il gruppo applica l’ingegneria sociale, come messaggi-esca sull’apertura di un’indagine esecutiva o di un caso penale, video di azioni di combattimento o richieste di conoscenza tramite popolari piattaforme di incontri. Chat successive con un militare potrebbero comportare il trasferimento di un file o archivio con una richiesta di assistenza per aprirlo o elaborarlo.

Gli avversari sfruttano diversi strumenti offensivi, tra cui software commerciali e utility open-source. Ad esempio, UAC-0184 applica il malware IDAT (HijackLoader, SHADOWLADDER, GHOSTPULSE) nella fase iniziale dell’intrusione. Altre varianti malevole coinvolgono REMCOSRAT, VIOTTOKEYLOGGER e XWORM. Il gruppo sfrutta anche le utility SIGTOP e TUSC, accessibili pubblicamente da GitHub, per rubare ed estrarre dati dai computer presi di mira, inclusi messaggi e dettagli di contatto da Signal, una piattaforma popolare tra il personale militare.

Per ridurre al minimo le intrusioni avversarie, i difensori raccomandano di mantenere la vigilanza informatica durante l’uso di messenger popolari che non sono canali di scambio di informazioni adeguatamente controllati e sono a rischio di essere armati dagli attaccanti.

Rileva le Attività di UAC-0184 Indicate nell’Allerta CERT-UA#9474

Il crescente numero di attacchi informatici contro l’Ucraina legati al gruppo UAC-0184 sottolinea la necessità di potenziare le difese per identificare tempestivamente le intrusioni. Accedi alla piattaforma SOC Prime per accedere all’intera collezione di algoritmi di rilevamento per attacchi UAC-0184 che sfruttano messenger popolari e siti di incontri secondo l’ultima allerta CERT-UA#9474. Sfoglia lo stack di rilevamento pertinente applicando il tag personalizzato basato sull’ID alert CERT-UA:

Regole Sigma per rilevare l’attività di UAC-0184 coperte nel rapporto CERT-UA#9474

Tutti gli algoritmi di rilevamento sono allineati con il framework MITRE ATT&CK® v.14.1, arricchiti con informazioni sulle minacce rilevanti e metadati attuabili, e sono istantaneamente convertibili in diversi formati di lingua SIEM, EDR e Data Lake per potenziare le operazioni di rilevamento.

Se stai cercando l’intero set di regole per il rilevamento degli attacchi UAC-0184, clicca sul Esplora Rilevamenti pulsante qui sotto, e accedi a ulteriori elementi di contenuto che affrontano le TTP del gruppo e riflettono i loro comuni schemi di comportamento.

Esplora Rilevamenti

Per semplificare il tuo abbinamento IOC, affidati a Uncoder AI, il primo co-pilota AI dell’industria per il Rilevamento, e cerca istantaneamente gli indicatori di compromissione forniti nell’allerta CERT-UA#9474. Uncoder AI agisce come un imballatore IOC, permettendo a CTI e analisti SOC e Cacciatori di Minacce di analizzare senza soluzione di continuità gli IOC e convertirli in query personalizzate pronte per essere eseguite nel SIEM o EDR di loro scelta.

Affidati a Uncoder AI per cercare istantaneamente nel CERT-UA#9474 alert per gli IOC forniti

Contesto MITRE ATT&CK

Sfruttando MITRE ATT&CK si ottiene una visibilità dettagliata nel contesto delle operazioni offensive attribuite a UAC-0184. Esplora la tabella qui sotto per vedere l’elenco completo delle regole Sigma dedicate che affrontano le corrispondenti tattiche ATT&CK, tecniche e sotto-tecniche.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento degli Attacchi UAC-0226: Nuova Campagna di Cyber-Spionaggio Contro Hub di Innovazione e Entità Governative Ucraini con il GIFTEDCROOK Stealer
Blog, Ultime Minacce — 4 min di lettura
Rilevamento degli Attacchi UAC-0226: Nuova Campagna di Cyber-Spionaggio Contro Hub di Innovazione e Entità Governative Ucraini con il GIFTEDCROOK Stealer
Veronika Telychko
Rilevamento dell’attacco UAC-0219: Una nuova campagna di cyber-spionaggio utilizza un PowerShell Stealer WRECKSTEEL
Blog, Ultime Minacce — 4 min di lettura
Rilevamento dell’attacco UAC-0219: Una nuova campagna di cyber-spionaggio utilizza un PowerShell Stealer WRECKSTEEL
Veronika Telychko
Rilevamento degli attacchi UAC-0200: attività di cyber-spionaggio che prende di mira il settore dell’industria della difesa e le forze armate ucraine utilizzando DarkCrystal RAT
Blog, Ultime Minacce — 4 min di lettura
Rilevamento degli attacchi UAC-0200: attività di cyber-spionaggio che prende di mira il settore dell’industria della difesa e le forze armate ucraine utilizzando DarkCrystal RAT
Veronika Telychko