Disseminação de Malware Cobalt Strike Beacon Através de Emails de Phishing Direcionados Relacionados ao Azovstal: Ciberataque a Entidades Governamentais Ucranianas

Em 18 de abril de 2022, CERT-UA emitiu um alerta avisando sobre ciberataques em andamento visando órgãos estatais ucranianos. De acordo com a pesquisa, funcionários do governo foram expostos a ataques de phishing direcionados usando e-mails relacionados a Azovstal que continham anexos maliciosos espalhando Cobalt Strike Beacon malware. A atividade detectada reflete os padrões de comportamento associados ao coletivo de hackers rastreado como UAC-0098 também conhecido como TrickBot.

Ataques de Phishing usando Malware Cobalt Strike: Visão Geral e Análise

Há mais de um mês, entidades governamentais ucranianas enfrentaram ataques de phishing espalhando iscas de e-mail com arquivos maliciosos que baixavam sucessivamente um ao outro para infectar o sistema alvo com um conjunto de variantes de malware, incluindo Cobalt Strike Beacon, a carga útil de malware padrão usada para criar uma conexão com o servidor da equipe e projetada para modelar atacantes avançados.

Cobalt Strike Beacon é conhecido por ter sido usado anteriormente em campanhas de distribuição de malware, incluindo os ataques cibernéticos explorando a vulnerabilidade CVE-2018-20250 in the WinRAR arquivador. Neste ciberataque, arquivos maliciosos foram entregues via e-mails de spam e desencadearam a cadeia de infecção para executar scripts nocivos e outras cargas úteis.

No ataque cibernético mais recente pelos atores da ameaça UAC-0098, a carga maliciosa foi espalhada por e-mails de phishing com o assunto de isca relacionado a Azovstal. Os e-mails alvo em questão continham anexos XLS e macros maliciosas envolvidas na cadeia de infecção que levou à entrega do Cobalt Strike Beacon e comprometimento do computador da vítima. Com base nas técnicas de criptografia aplicadas, a atividade revelada foi atribuída à nefasta gangue de malware associada à Rússia TrickBot. 

Conteúdo Comportamental Sigma para Detectar Ciberataques por UAC-0098 Espalhando Malware Cobalt Strike Beacon

Os profissionais de segurança podem defender-se proativamente contra ciberataques envolvendo o Cobalt Strike Beacon espalhado pelo grupo de hackers UAC-0098 com um conjunto de regras de detecção baseadas em Sigma, curadas pela equipe SOC Prime:

Regras Sigma para detectar Cobalt Strike Beacon espalhado por UAC-0098

Todo o conjunto de detecção está marcado como #UAC-0098 para busca de conteúdo simplificada por ameaças relacionadas. Antes de acessar as regras, por favor inscreva-se na plataforma Detection as Code da SOC Prime ou faça login com sua conta existente.

As equipes também podem buscar ameaças associadas à atividade do grupo de hackers UAC-0098 usando o conteúdo de caça acima referenciado com o módulo Quick Hunt da SOC Prime .

Contexto MITRE ATT&CK®

Os profissionais de segurança podem aprofundar-se no contexto por trás do último ataque de phishing relacionado a Azovstal em órgãos estatais ucranianos com base na estrutura MITRE ATT&CK. Todo o conteúdo dedicado baseado em Sigma está alinhado com a mais recente estrutura MITRE ATT&CK v.10, abordando as táticas e técnicas correspondentes: