Malware de Roubo de Informações AgentTesla Distribuído em Ciberataques a Entidades Governamentais Ucranianas

[post-views]
Julho 20, 2022 · 4 min de leitura
Malware de Roubo de Informações AgentTesla Distribuído em Ciberataques a Entidades Governamentais Ucranianas

Devido à guerra cibernética global alimentada pela invasão em grande escala da Rússia na Ucrânia, os ataques no domínio cibernético contra entidades governamentais ucranianas estão continuamente em ascensão. Uma semana após a campanha de phishing do grupo UAC-0056 entregando o Cobalt Strike Beacon, outro ciberataque voltado para funcionários ucranianos usando malware de roubo de informações surge na cena.  

Em 20 de julho de 2022, CERT-UA emitiu um alerta avisando defensores cibernéticos de um ciberataque em andamento contra entidades governamentais ucranianas explorando o tema relacionado à guerra e espalhando um RAT notório chamado AgentTesla (também escrito como Agent Tesla). A cadeia de infecção é desencadeada por um arquivo malicioso que contém uma miniatura de isca relacionada ao Comando Operacional Sul (OC South). Como resultado da operação maliciosa, os computadores comprometidos podem ser infectados pelo malware AgentTesla. 

O Que é o Spyware AgentTesla: Análise do Último Ciberataque à Ucrânia

Ao longo da guerra cibernética em andamento contra a Ucrânia, os adversários já aplicaram cepas de malware de roubo de informações, como na campanha maliciosa de abril de 2022 distribuindo o trojan IcedID. Esse ciberataque foi atribuído à atividade adversária do coletivo hacker UAC-0041, que também foi vinculado à entrega do spyware Trojan AgentTesla em operações maliciosas anteriores contra a Ucrânia.

De acordo com a investigação do CERT-UA, o último ciberataque visando instituições governamentais ucranianas também envolve a entrega de amostras do AgentTesla. Este infame RAT surgiu no cenário de ameaças cibernéticas em 2014, e desde então, tem continuamente evoluído para usar várias técnicas avançadas para evadir detecção. O AgentTesla é comumente entregue por meio do vetor de ataque phishing e é capaz de roubar credenciais de navegadores web e vários programas de software como Microsoft Outlook. 

Na campanha adversária mais recente, o infostealer AgentTesla foi entregue por meio de um arquivo PPT ativando um macro malicioso que infecta ainda mais o sistema alvo. O arquivo PPT contém uma miniatura JPEG de isca relacionada ao tópico da guerra Rússia-Ucrânia, que fornece uma referência ao OC South, uma formação das Forças Terrestres Ucranianas na parte sul da Ucrânia. Uma vez aberto e ativando um macro, este cria e lança tanto um arquivo de atalho LNK quanto um executável. O arquivo EXE é um programa baseado em NET, que aplica a ferramenta de obfuscação ConfuserEx, baixa um arquivo JPEG, decodifica e descomprime os dados, e por fim executa o infostealer AgentTesla no sistema comprometido.

Detectar Atividades Maliciosas Cobertas pelo Alerta CERT-UA#4987

Para ajudar organizações a se protegerem contra o spyware Trojan AgentTesla distribuído no ciberataque mais recente aos corpos estatais ucranianos, a plataforma Detection as Code da SOC Prime oferece um lote de regras Sigma que podem ser automaticamente convertidas para múltiplos formatos SIEM, EDR e XDR. Para busca de conteúdo simplificada, todas as regras Sigma são marcadas como CERT-UA#4987 com base no correspondente alerta do CERT-UA. Para acessar este conjunto de detecção, por favor, certifique-se de inscrever-se ou entrar na plataforma da SOC Prime e então siga o link abaixo:

Regras Sigma para detectar as atividades maliciosas cobertas pelo alerta CERT-UA#4987

Para identificar tempestivamente as amostras de malware AgentTesla no ambiente da organização, acesse a lista completa de algoritmos de detecção clicando no botão Detect & Hunt . Além disso, profissionais de cibersegurança podem navegar na SOC Prime para explorar o contexto de ameaça mais recente vinculado ao malware AgentTesla, incluindo referências MITRE ATT&CK® e CTI junto com uma lista de regras Sigma dedicadas. Clique no botão Explore Threat Context para acessar instantaneamente as informações abrangentes relacionadas à ameaça.

botão Detect & Hunt botão Explore Threat Context

Contexto MITRE ATT&CK®

Para mergulhar no contexto do último ciberataque contra a Ucrânia coberto pelo alerta CERT-UA#4987, todas as regras Sigma dedicadas estão alinhadas com o framework MITRE ATT&CK abordando as táticas e técnicas correspondentes:

Tactics 

Techniques

Sigma Rule

Initial Access

Phishing (T1566)

Defense Evasion

Signed Binary Proxy Execution (T1218)

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção do Malware Koske: Nova Ameaça Linux Gerada por IA em Atividade 7 min de leitura Ameaças Mais Recentes Detecção do Malware Koske: Nova Ameaça Linux Gerada por IA em Atividade by Veronika Telychko Inteligência de Ameaças com IA 17 min de leitura SIEM & EDR Inteligência de Ameaças com IA by Veronika Telychko CyberLock, Lucky_Gh0$t e Detecção de Numero: Hackers Armem Instaladores Falsos de Ferramentas de IA em Ataques de Ransomware e Malware 8 min de leitura Ameaças Mais Recentes CyberLock, Lucky_Gh0$t e Detecção de Numero: Hackers Armem Instaladores Falsos de Ferramentas de IA em Ataques de Ransomware e Malware by Veronika Telychko
Todas as notícias