Atores de Ameaças Armageddon, também conhecidos como UAC-0010, Espalham Malware GammaLoad.PS1_v2 em Mais um Ataque de Phishing na Ucrânia

Na primavera de 2022, o notório grupo de ciberespionagem apoiado pela nação russa Armageddon, também rastreado como UAC-0010, lançou uma série de ataques cibernéticos de phishing direcionados contra órgãos estaduais ucranianos e europeus. Em 26 de julho de 2022, o CERT-UA emitiu uma série de novos alertas de cibersegurança alertando a comunidade global de defensores do ciberespaço sobre uma onda de novas campanhas de phishing desses agentes de ameaça ligados à Rússia, visando a Ucrânia e distribuindo maciçamente o malware GammaLoad.PS1_v2.

Análise dos Últimos Ataques Cibernéticos do Armageddon APT (UAC-0010): Distribuição em Massa do Malware GammaLoad.PS1_v2

Desde 2014 e com a escalada da agressão russa contra a Ucrânia em 24 de fevereiro de 2022, a Rússia tem evoluído sua guerra híbrida e avançado em campanhas de ciberespionagem. De acordo com o relatório técnico do Serviço de Segurança da Ucrânia (SSU), o coletivo de hackers Armageddon, também conhecido como Gamaredon com base no erro de grafia do nome original do grupo, foi criado como uma unidade especial para realizar atividades de inteligência e ciberespionagem contra órgãos estatais ucranianos. 

Após uma série de ataques cibernéticos na primavera de 2022 lançados pelo grupo APT Armageddon, os agentes de ameaça estão novamente em ascensão explorando o vetor de ataque de e-mails de phishing. Anteriormente, em abril de 2022, o grupo também identificado como UAC-0010 lançou uma série de ataques cibernéticos contra órgãos estatais ucranianos e europeus espalhando e-mails de phishing com anexos maliciosos. Um mês depois, o grupo Armageddon ressurgiu na arena da ameaça cibernética, aproveitando seu vetor de ataque de phishing mais preferido para implementar o software malicioso GammaLoad.PS1_v2 nos sistemas comprometidos.

De acordo com os últimos alertas do CERT-UA, o coletivo de hackers UAC-0010 distribui maciçamente e-mails de phishing direcionados, aproveitando iscas relacionadas à guerra como assuntos de e-mail e disfarçados como remetentes da Academia Nacional do Serviço de Segurança da Ucrânia. Esses e-mails falsificados contêm um dropper HTM que aciona uma cadeia de infecção. Uma vez aberto, este último cria um arquivo RAR malicioso com um arquivo de atalho LNK usado como uma isca para enganar as vítimas a abri-lo. Se aberto, o arquivo LNK mencionado anteriormente baixa e executa um arquivo HTA contendo código VBScript, que aplica PowerShell para descriptografar e iniciar o malware GammaLoad.PS1_v2 nos computadores visados. Para evitar a detecção, os atacantes aplicam serviços externos para impedir a resolução DNS dos servidores C2. 

Devido a um aumento dramático em ataques cibernéticos de phishing que utilizam as técnicas adversárias acima mencionadas, é fortemente recomendado que organizações globais implementem programas abrangentes de gerenciamento de superfície de ataque como parte de suas estratégias de cibersegurança. O uso de serviços de e-mail externos nos dispositivos da organização impede que o conteúdo dos e-mails passe por verificações de segurança adequadas, o que pode potencialmente levar a ataques de phishing. 

Detectando a Atividade UAC-0010: Regras Sigma para Defesa Contra Ataques Cibernéticos de Phishing Emergentes

Com um número constantemente crescente de ataques cibernéticos de phishing que visam milhares de organizações em todo o mundo, os defensores cibernéticos percebem que defender proativamente contra a atividade maliciosa relacionada é uma prioridade máxima para melhorar a postura de cibersegurança da organização. A plataforma Detection as Code da SOC Prime cura alertas de alta fidelidade e consultas de caça a ameaças verificadas para permitir que as organizações identifiquem oportunamente a atividade maliciosa dos agentes de ameaça Armageddon (UAC-0010) coberta nos últimos alertas do CERT-UA. 

Para uma busca de conteúdo simplificada, todas as detecções são marcadas como #UAC-0010 com base no identificador associado à atividade adversária. Usuários registrados da SOC Prime podem aproveitar as regras Sigma dedicadas seguindo o link abaixo: 

Regras baseadas em Sigma para detectar a atividade maliciosa do Armageddon APT (UAC-0010) coberta nos últimos alertas do CERT-UA

Os profissionais de cibersegurança também são bem-vindos para acessar mais regras Sigma para detectar ataques cibernéticos do grupo Armageddon, também conhecido como Gamaredon, clicando no botão Detectar e Caçar . Alternativamente, os praticantes de segurança da informação podem navegar pelo motor de busca de ameaças cibernéticas da SOC Prime para a atividade adversária UAC-0010 e instantaneamente explorar o contexto abrangente de ameaças como MITRE ATT&CK® e referências CTI, links de mídia, binários executáveis ligados às regras Sigma e mais metadados contextuais juntamente com detecções relacionadas, mesmo sem registro.

Detectar & Caçar Explorar Contexto de Ameaça

Contexto MITRE ATT&CK®

Para obter informações sobre o contexto MITRE ATT&CK dos últimos ataques cibernéticos do grupo Armageddon APT, também conhecido como UAC-0010, todas as regras Sigma dedicadas estão alinhadas ao framework MITRE ATT&CK® abordando as táticas e técnicas correspondentes: