Spyware AgentTesla Massivamente Distribuído em Campanhas de Phishing Alvejando Organizações Ucranianas, Austríacas e Alemãs

Nos dias 30 e 31 de agosto de 2022, CERT-UA revelou uma onda de atividades adversárias distribuindo maciçamente e-mails de phishing entre organizações na Ucrânia, Áustria e Alemanha. De acordo com o alerta correspondente CERT-UA#5252, os hackers exploram o vetor de anexos de e-mail para disseminar o notório malware de roubo de informações AgentTesla. A atividade maliciosa pode ser atribuída aos padrões de comportamento do coletivo de hackers rastreado como UAC-0120. info-stealing malware. The malicious activity can be attributed to the behavior patterns of the hacking collective tracked as UAC-0120.

Distribuição de Malware AgentTesla: Análise das Últimas Campanhas de E-mail pelo UAC-0120 

Desde que o mundo entrou na guerra cibernética global quando a Rússia lançou sua grande invasão à Ucrânia, coletivos de hackers ligados à Rússia escalaram suas atividades maliciosas ao lançar campanhas de ciberespionagem e ataques cibernéticos destrutivos. Como parte dessas campanhas, os adversários usaram amostras de malware de roubo de informações, como IcedID Trojan e spyware AgentTesla. Este último pertence a um dos Trojans de spyware amplamente utilizados, projetados para roubar dados sensíveis de usuários comprometidos. O malware AgentTesla surgiu em ataques cibernéticos anteriores contra a Ucrânia, atribuídos à atividade maliciosa do grupo de hackers UAC-0041. 

Em 31 de agosto de 2022, o CERT-UA emitiu um alerta CERT-UA#5252 avisando a comunidade global de defensores cibernéticos sobre uma nova onda de ataques cibernéticos pelo grupo de hackers UAC-0120 distribuindo maciçamente o spyware AgentTesla. Os adversários lançam campanhas de e-mails de phishing contínuas direcionadas a organizações na Ucrânia, Áustria e Alemanha. Esses e-mails contêm anexos IMG maliciosos chamados “Technisches Zeichnen” (“Desenho Técnico”) usados como iscas de phishing para enganar as vítimas a abrirem e espalharem a infecção. A isca IMG vem com um arquivo CHM que, se aberto, executa um código JavaScript malicioso. Este último baixa e lança o arquivo node.txt via script PowerShell.  Como resultado, o código PowerShell executa arquivos DLL e EXE, sendo este último o spyware AgentTesla, que infecta os sistemas comprometidos. De acordo com a pesquisa da CERT-UA, e-mails de phishing semelhantes foram entregues em 11 de agosto, mas usaram outras iscas para assuntos de e-mail e anexos. 

As a result, the PowerShell code executes DLL and EXE files, the latter being AgentTesla spyware, which infects the compromised systems. According to the CERT-UA research, similar phishing emails were delivered on August 11, but they used other lures for email subjects and attachments. 

Detectando a Atividade do UAC-0120: Regras Sigma para Defender Proativamente Contra Ataques de Phishing Espalhando AgentTesla

Para defender proativamente contra a atividade adversária emergente de diversos coletivos de hackers espalhando malware de roubo de informações, pesquisadores de cibersegurança estão procurando maneiras de aprimorar as capacidades de detecção de ameaças e acelerar a velocidade de caça às ameaças. A equipe da SOC Prime curou um conjunto de regras Sigma para detectar a atividade maliciosa do grupo UAC-0120, que está por trás de ataques cibernéticos em andamento distribuindo o spyware AgentTesla. Como essas campanhas de phishing visam múltiplas organizações da Ucrânia, Áustria e Alemanha, os defensores cibernéticos devem ficar alertas para identificar em tempo hábil a infecção na infraestrutura de suas organizações e mitigar a ameaça potencial. 

Praticantes de cibersegurança podem explorar a SOC Prime para as ameaças relacionadas com base no identificador do grupo “UAC-0120” e instantaneamente obter acesso a regras Sigma relevantes enriquecidas com metadados contextuais esclarecedores, como referências MITRE ATT&CK® e CTI:

Regras Sigma para detectar a atividade maliciosa do grupo UAC-0120 distribuindo maciçamente o malware AgentTesla

Todas as regras Sigma estão disponíveis na plataforma Detection as Code da SOC Prime e podem ser aplicadas em múltiplas tecnologias líderes do setor SIEM, EDR e XDR. 

Acesse instantaneamente regras Sigma com contexto enriquecido para detecção de malware AgentTesla diretamente do Mecanismo de Busca de Ameaças Cibernéticas da SOC Prime. Clique no botão Explore Detections e aprofunde-se no conteúdo de detecção relevante acompanhado por informações contextuais abrangentes para uma investigação profunda da ameaça. Precisa de mais do que apenas regras de detecção? Ganhe com Detecção como Código disponível sob demanda oferecendo a máxima flexibilidade com um saldo pré-pago.

Explore Detections Escolher um Plano

Contexto MITRE ATT&CK®

Todas as regras Sigma dedicadas estão alinhadas com o framework MITRE ATT&CK® abordando as seguintes táticas e técnicas adversárias que permitem aos profissionais de cibersegurança obter instantaneamente insights sobre o contexto MITRE ATT&CK por trás das campanhas de e-mail em andamento do grupo UAC-0120:

Esteja um passo à frente das ameaças emergentes com acesso sob demanda ao conteúdo de Detecção como Código mais atual e relevante disponível na plataforma da SOC Prime. Escolha o plano de assinatura On-Demand e economize até 2.200 horas em pesquisa e desenvolvimento de conteúdo de detecção, maximizando o valor dos recursos de sua equipe SOC.