APT Armageddon Conhecido Como UAC-0010 Distribui Malware de Espionagem GammaLoad.PS1_v2 em Nova Campanha de Phishing Contra a Ucrânia

O infame coletivo de hackers patrocinado pelo estado russo, Armageddon, recentemente envolvido em ataques de phishing direcionados a organismos estatais ucranianos e europeus, continua sua atividade maliciosa. Com base nos últimos investigações do CERT-UA, os atores da ameaça Armageddon também identificados como UAC-0010 foram observados em outro ciberataque contra a Ucrânia, distribuindo e-mails de phishing e espalhando o software malicioso denominado GammaLoad.PS1_v2.

APT Armageddon Alvejando a Ucrânia Através da Entrega do Malware GammaLoad.PS1_v2: Análise do Ataque

De acordo com o relatório do Serviço de Segurança da Ucrânia (SSU), os atores da ameaça Armageddon também monitorados como Gamaredon (por Eset, pesquisadores da PaloAlto) ou Primitive Bear (por CrowdStrike) são identificados como um grupo APT, que foi criado como uma unidade especial do Serviço Federal de Segurança da Rússia para conduzir atividades de inteligência e subversivas contra a Ucrânia no front cibernético.

No ataque de abril anterior, o grupo de espionagem cibernética utilizou o malware GammaLoad.PS1, entregue por meio de e-mails de phishing e implantado através de uma cadeia de infecção usando o código malicioso VBScript. Um mês depois, mais uma campanha de phishing pelo APT Armageddon visando a Ucrânia aplicou a versão atualizada do malware identificada como GammaLoad.PS1_v2.

O phishing continua sendo o vetor de ataque mais preferido do grupo APT Armageddon, ligado à Rússia, sem exceções na campanha mais recente. Desta vez, o grupo Armageddon também escolheu seu método comum de adversário aplicando o assunto do e-mail e nomes de arquivos como iscas de phishing junto com o anexo malicioso que aciona a cadeia de infecção. Com base na pesquisa do CERT-UA, tais e-mails de phishing são entregues com um anexo HTM que, quando aberto, cria um arquivo RAR com um arquivo de atalho LNK, que pode potencialmente levar à execução e lançamento de um arquivo HTA. Este último gera e executa dois arquivos que finalmente implantam o GammaLoad.PS1_v2 no computador alvo.

Regras Sigma para Detectar Ciberataques do APT Armageddon

Para ajudar as organizações a se defenderem proativamente contra ataques de phishing pelo APT Armageddon (UAC-0010), a SOC Prime oferece um conjunto único de regras Sigma dedicadas, incluindo alertas e consultas, filtrados por uma tag personalizada apropriada #UAC-0010 para simplificar a busca por conteúdo:

Regras Sigma para detectar atividades maliciosas do Grupo Armageddon (UAC-0010)

Engenheiros de Detecção podem acessar esta lista abrangente de itens de conteúdo curado após fazer login na plataforma da SOC Prime com sua conta existente e então escolher as regras mais relevantes por caso de uso, tipo de conteúdo, produto ou categoria de fonte de log, ID de Evento junto com outras fontes de dados adaptadas às necessidades de seu ambiente.

Contexto MITRE ATT&CK®

Para uma análise perspicaz focada nos padrões de comportamento do adversário, todas as regras Sigma para detectar a atividade maliciosa do coletivo de hackers Armageddon/UAC-0010 são alinhadas com o MITRE ATT&CK abordando as respectivas táticas e técnicas: