Detecção de CredoMap e Cobalt Strike Beacon: Grupo APT28 e Agentes de Ameaça UAC-0098 Atacam Novamente Organizações Ucranianas
Índice:
Em 20 de junho de 2022, o CERT-UA emitiu dois alertas separados que avisam a comunidade global de cibersegurança sobre uma nova onda de ciberataques a organizações ucranianas armando a nefasta vulnerabilidade de dia zero ativamente explorada em campo e rastreada como CVE-2022-30190 aka Follina. No alerta CERT-UA#4842 , pesquisadores de cibersegurança revelaram a atividade maliciosa por um grupo de hackers identificado como UAC-0098 espalhando malware Cobalt Strike Beacon . Outro alerta CERT-UA#4843 destaca a entrega do malware CredoMap atribuída à atividade maliciosa do notório coletivo de hackers apoiado pela nação russa APT28 também conhecido como UAC-0028.
Detectar a Atividade Maliciosa do APT28 e UAC-0098 Observada em Ciberataques na Ucrânia
Para ajudar os praticantes de cibersegurança a defenderem-se proativamente contra a atividade maliciosa coberta nos alertas CERT-UA#4842 e CERT-UA#4843, a plataforma Detection as Code da SOC Prime oferece um conjunto de regras Sigmadedicadas. Para uma pesquisa de conteúdo simplificada, todos os algoritmos de detecção são marcados com base na atividade adversária associada aos ataques relevantes, como #UAC-0098, ou com base na identificação do alerta correspondente do CERT-UA, como CERT-UA#4843. Os usuários da SOC Prime são solicitados a se logarem na plataforma com sua conta atual ou criarem e ativarem uma nova para acessarem os kits de regras dedicados:
Regras Sigma para detectar a atividade maliciosa do grupo UAC-0098, incluindo os recentes ataques cobertos no alerta CERT-UA#4842
Regras Sigma para detectar a atividade maliciosa coberta no alerta CERT-UA#4843
Todos os itens de conteúdo SOC referidos acima, filtrados pelas tags correspondentes, estão alinhados com o quadro MITRE ATT&CK® e são compatíveis com as soluções SIEM, EDR e XDR líderes da indústria, permitindo que as equipes adaptem as capacidades de detecção e caça às suas necessidades únicas de perfil de ameaça e ambiente.
Além disso, abaixo você pode encontrar uma lista extensa de regras baseadas em Sigma para detectar a atividade maliciosa do coletivo de hackers APT28 também identificado como UAC-0028, que foi avistado na última campanha espalhando o malware CredoMap além de uma série de ataques de phishing anteriores na Ucrânia:
Regras Sigma para Detectar a Atividade Maliciosa do APT28/UAC-0028
Para acessar a lista abrangente de regras Sigma para detecção de exploração da vulnerabilidade CVE-2022-30190, usuários registrados da SOC Prime podem clicar no botão Detectar & Caçar e ir diretamente para o conjunto de detecção dedicado. Profissionais de cibersegurança também podem navegar pela SOC Prime sem registro para explorar imediatamente as últimas tendências na arena de ameaças cibernéticas, acessar as recém-lançadas regras Sigma e obter insights sobre informações contextuais relevantes.
Detectar & Caçar Explorar Contexto de Ameaças
Distribuição dos Malwares CredoMap e Cobalt Strike Beacon: Visão Geral dos Últimos Ataques à Ucrânia
Em junho de 2022, pesquisadores de cibersegurança observaram ataques in-h-the-wild em andamento visando entidades governamentais ucranianas explorando a vulnerabilidade de dia zero CVE-2022-30190 do Windows e espalhando o malware Cobalt Strike Beacon. Nas últimas campanhas maliciosas visando organizações ucranianas, os agentes de ameaça APT28 e UAC-0098 continuam a utilizar a exploração CVE-2022-30190 tentando entregar amostras dos malwares Cobalt Strike Beacon e CredoMap aplicando um vetor de ataque semelhante com o uso de um anexo isca.
Ambas as linhagens de malware utilizadas nos últimos ataques cobertos pelos alertas CERT-UA acima mencionados já estiveram em destaque entre os pesquisadores de cibersegurança durante a guerra cibernética global em andamento representando o vetor de ataque de phishing. No início deste ano, em abril de 2022, o coletivo de hackers UAC-0098, também conhecido como TrickBot foi encontrado espalhando o Cobalt Strike Beacon em uma campanha de phishing direcionada a oficiais ucranianos e usando e-mails relacionados a Azovstal. Quanto às campanhas de phishing anteriores do grupo vinculado à Rússia APT-28 conhecido como UAC-0028, em março de 2022, ele foi visto por trás de um ciberataque contra órgãos estatais ucranianos também usando a versão atualizada do malware CredoMap apelidada de CredoMap_v2.
Nas últimas campanhas destacadas pelos CERT-UA#4842 and CERT-UA#4843 alertas, adversários usaram um documento isca que desencadeia uma cadeia de infecção e leva ao download de um arquivo HTML, seguido pela execução de um código JavaScript malicioso, que espalha ainda mais o malware nos sistemas comprometidos. No ciberataque atribuído ao grupo UAC-0098, o arquivo DOCX isca foi entregue por meio de falsificação de e-mail disfarçando um remetente de e-mail falso como o Serviço de Impostos do Estado da Ucrânia.
Com um número crescente de volumes de ataque moldando o cenário moderno de ameaças cibernéticas, os profissionais de cibersegurança estão constantemente em busca de capacidades aprimoradas de defesa cibernética e novas maneiras para investigação de ameaças agilizadas. A plataforma Detection as Code da SOC Prime utiliza o poder da defesa cibernética colaborativa para permitir que organizações globais aumentem a detecção de ameaças e acelerem a velocidade de caça a ameaças de forma mais eficiente que nunca. Além disso, os profissionais de cibersegurança individuais interessados em criar suas próprias regras de detecção têm uma grande oportunidade de participar do Programa de Recompensa de Ameaças e ver em ação como a contribuição de seu conteúdo ajuda a construir um futuro mais seguro.
