Grupo de Ciberespionagem Armageddon Identificado como UAC-0010 Ataca Entidades do Governo da UE e Ucraniano

[post-views]
Abril 06, 2022 · 4 min de leitura
Grupo de Ciberespionagem Armageddon Identificado como UAC-0010 Ataca Entidades do Governo da UE e Ucraniano

Atualização: De acordo com a mais recente atualização de 7 de abril de 2022, o Computer Emergency Response Team da Ucrânia (CERT-UA) emitiu um alerta com os detalhes do ataque de phishing mais recente contra órgãos estatais ucranianos, logo após a cadeia de eliminação do ataque, identificada há alguns dias com padrões de comportamento semelhantes.

Em 4 de abril de 2022, o CERT-UA lançou um alerta avisando sobre uma campanha de spear-phishing em andamento direcionada a entidades governamentais da Ucrânia que envolvia a disseminação de um e-mail com um anexo de malware. Os pesquisadores do CERT-UA acreditam que o grupo de hackers rastreado como UAC-0010, também conhecido como Armageddon, está por trás dos ataques de spear-phishing contra funcionários do governo ucraniano.

No mesmo dia, outro alerta do CERT-UA foi emitido, alertando sobre a atividade recém-detectada atribuída aos atores de ameaça mencionados acima. Desta vez, o famoso grupo de hackers Armageddon ataca agências estatais europeias com vítimas sendo comprometidas de forma semelhante pelo envio de e-mails de phishing com anexos maliciosos.

Atividade de Ciberespionagem Armageddon (UAC-0010): Visão Geral e Análise

De acordo com a Serviço de Segurança da Ucrânia (SSU), o Armageddon tem estado em destaque na arena cibernética desde 2013-2014. O grupo de ciberespionagem foi criado como parte integrante do Serviço Federal de Segurança da Federação Russa, com o objetivo de realizar inteligência cibernética direcionada e atividades subversivas contra entidades governamentais ucranianas para coletar informações sensíveis. Os atores de ameaça são rastreados como Armageddon APT, também conhecido como Gamaredon APT, com o último nome do grupo derivado de um erro de ortografia da palavra ‘Armageddon’.

Os atores de ameaça Armageddon têm utilizado TTPs semelhantes para comprometer um grande número de usuários, com campanhas de phishing sendo um de seus métodos mais amplamente utilizados como adversários. Durante o período de sua atividade revelada, enviando massivamente e-mails a vítimas potenciais com anexos maliciosos que levam à disseminação de várias cepas de malware tem sido o principal vetor de ataque do grupo, e os ataques cibernéticos mais recentes não são exceção. O grupo Gamaredon aplica ferramentas simples escritas em VBScript, VBA Script, C#, C++ e outras linguagens de programação, principalmente confiando em software de código aberto nos primeiros dias de sua atividade, enquanto gradualmente tende a enriquecer seu conjunto de ferramentas com uma série de ferramentas de ciberespionagem personalizadas, incluindo Pterodo/Pteranodon e EvilGnome malware.

As CERT-UA relatou que a atividade mais recente dos atores de ciberespionagem visando órgãos estatais letões envolvia o envio de e-mails de phishing que continham arquivos de atalho maliciosos dentro de arquivos RAR. Nos ataques cibernéticos contra entidades governamentais ucranianas, hackers do Armageddon espalharam atrativos de e-mail com assuntos cobrindo dados sobre criminosos de guerra ligados à Rússia. Esses e-mails de phishing contêm um anexo HTM que, ao ser aberto, gera um arquivo RAR com um arquivo LNK malicioso, que posteriormente executa o código VBScript e infecta o sistema comprometido.

Conteúdo Baseado em Comportamento Sigma para Detectar Ataques Cibernéticos por Armageddon (UAC-0010)

Os profissionais de segurança podem acompanhar a atividade mais recente do grupo de hackers Armageddon (UAC-0010) usando um conjunto de regras de detecção baseadas em Sigma, organizadas pela Equipe SOC Prime:

https://tdm.socprime.com/expert/?tagsCustom[]=UAC-0010

Todas as regras de detecção acima mencionadas estão etiquetadas como #UAC-0010 para agilizar a busca por conteúdo relacionado à atividade maliciosa dos respectivos atores de ameaça. Para acessar o kit de regras e caçar ameaças, certifique-se de se inscrever ou entrar na Detecção como Código da SOC Prime plataforma.

Contexto MITRE ATT&CK®

Para se aprofundar no contexto dos ataques cibernéticos mais recentes do Armageddon/UAC-0010 visando oficiais do governo ucraniano e da UE, todas as detecções baseadas em Sigma dedicadas são mapeadas para a versão mais recente da estrutura MITRE ATT&CK abordando as táticas e técnicas correspondentes:

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Acessar Funcionalidade do Uncoder AI via API 2 min de leitura Plataforma SOC Prime Acessar Funcionalidade do Uncoder AI via API by Steven Edwards Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI 2 min de leitura Plataforma SOC Prime Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI by Steven Edwards Traduzir do Sigma para 48 Idiomas 2 min de leitura Plataforma SOC Prime Traduzir do Sigma para 48 Idiomas by Steven Edwards
Todas as notícias