Detecção de Malware Cobalt Strike Beacon: Um Novo Ataque Cibernético a Organizações Governamentais Ucranianas Atribuído ao Grupo UAC-0056
Índice:
O notório malware Cobalt Strike Beacon foi distribuído ativamente por múltiplos coletivos de hackers na primavera de 2022 como parte da guerra cibernética em andamento contra a Ucrânia, principalmente alavancado em ataques de phishing direcionados a órgãos estatais ucranianos. Em 6 de julho de 2022, CERT-UA divulgou um alerta alertando sobre uma nova campanha de e-mails maliciosos visando entidades governamentais ucranianas. O ataque cibernético em andamento envolve a distribuição em massa de e-mails com um assunto atraente e um anexo de arquivo XLS contendo uma macro maliciosa que leva à disseminação do malware Cobalt Strike Beacon em um sistema comprometido.
Distribuição do Cobalt Strike Beacon: CERT-UA Detalha o Último Ataque UAC-0056 Contra a Ucrânia
Anteriormente, em março de 2022, pesquisadores do CERT-UA observaram a atividade do grupo de hackers UAC-0056 espalhando Cobalt Strike Beacon junto com outras cepas de malware em uma campanha de phishing contra entidades governamentais ucranianas. O mais recente ataque cibernético relatado pelo CERT-UA compartilha semelhanças com o incidente anterior, aproveitando o mesmo vetor de ataque e aplicando os mesmos padrões de comportamento que podem ser atribuídos à atividade do grupo UAC-0056.
A cadeia de ataque começa com um e-mail de phishing contendo iscas relacionadas a militares e com um documento XLS malicioso anexado. Caso o usuário seja enganado a abrir o documento e habilitar uma macro incorporada, um arquivo malicioso “write.exe” é executado na instância infectada. A análise do CERT-UA mostra que esse arquivo atua como um instalador para acionar um script PowerShell. Além disso, “write.exe” garante persistência criando uma chave “Verificar Licença” no registro do Windows.
Durante a próxima fase do ataque, o script PowerShell contorna o AMSI, desativa o registro de eventos para o PowerShell e garante a decodificação e extração do script PowerShell de segunda fase direcionado à infecção do Cobalt Strike Beacon.
Detectando Atividade UAC-0056: Regras Sigma para Identificar Novos Ataques Contra o Governo Ucraniano
Para auxiliar os defensores cibernéticos na detecção proativa e mitigação das atividades maliciosas associadas ao último ataque contra entidades governamentais ucranianas, a plataforma Detecção como Código da SOC Prime oferece um lote de regras Sigma selecionadas. Para uma busca simplificada de conteúdo relevante de detecção, todas regras Sigma são marcadas como #UAC-0056 com base na atividade adversária atribuída a este recente ataque cibernético coberto no alerta CERT-UA#4914. Para acessar instantaneamente os algoritmos de detecção, siga o link abaixo após se inscrever ou entrar na plataforma da SOC Prime:
Regras Sigma para detectar a atividade maliciosa do grupo UAC-0056
Para obter a lista completa de regras de detecção e consultas de caça permitindo que especialistas em cibersegurança identifiquem tempestivamente a presença maliciosa do Cobalt Strike Beacon em seu ambiente, clique no botão Detect & Hunt abaixo. Navegue no mecanismo de busca de ameaças cibernéticas da SOC Prime para explorar instantaneamente a lista de regras Sigma para detectar a atividade maliciosa dos atores de ameaça UAC-0056 junto com metadados contextuais em profundidade, como referências MITRE ATT&CK® e CTI, descrições de CVEs e mais contexto relevante de ameaças.
Detect & Hunt Explorar Contexto de Ameaças
Contexto MITRE ATT&CK®
Para obter insights sobre o contexto dos ataques cibernéticos atribuídos à atividade do grupo UAC-0056 visando autoridades governamentais ucranianas, todas as regras Sigma referenciadas acima estão alinhadas com o framework MITRE ATT&CK® abordando as correspondentes táticas e técnicas:
