Detecção do Backdoor CredPump, HoaxPen e HoaxApe: Hackers UAC-0056 Lançam Ataques Disruptivos Contra Sites do Governo Ucraniano Planejados Mais de Um Ano Antes
Índice:
Aproximando-se da data de um ano de aniversário do início da guerra em grande escala na Ucrânia, os defensores cibernéticos abordaram os riscos de potenciais ataques contra a Ucrânia e seus aliados por forças ofensivas russas. Em 23 de fevereiro, os pesquisadores de cibersegurança da CERT-UA revelaram a atividade maliciosa atribuída ao grupo de hackers UAC-0056, que foi observado em campanhas maliciosas contra a Ucrânia aproveitando o vetor de ataque de phishing em julho de 2022. Na campanha adversária descoberta, os atores da ameaça visavam perturbar a integridade e a disponibilidade de sites governamentais utilizando múltiplas portas traseiras, que haviam sido plantadas há mais de um ano atrás.
Análise de Ataques Cibernéticos Disruptivos Contra a Ucrânia pelo Grupo UAC-0056 ligado à Rússia
Em 23 de fevereiro de 2023, a CISA emitiu um alerta instando as organizações dos EUA e da Europa a aumentarem sua vigilância cibernética em resposta aos potenciais ataques cibernéticos por agressores russos. Defensores cibernéticos alertaram organizações e usuários individuais sobre os altos riscos de ataques disruptivos contra diversos sites marcando o primeiro aniversário da invasão em grande escala da Ucrânia pela Rússia. O alerta foi emitido pouco após os pesquisadores da CERT-UA terem detectado a atividade maliciosa disruptiva contra os sites do governo ucraniano e coberto isso no respectivo alerta CERT-UA#6060.
Os pesquisadores de cibersegurança da CERT-UA descobriram um incidente visando órgãos governamentais ucranianos e com o objetivo de prejudicar a integridade e a disponibilidade dos sites informacionais estatais. Com base nos padrões de comportamento observados, a atividade adversária pode ser atribuída ao coletivo de hackers UAC-0056 (DEV-0586, unc2589) ou Ember Bear.
O coletivo de hackers estava por trás de uma série de ataques de phishing em órgãos estatais ucranianos em meados do verão de 2022, espalhando malware Cobalt Strike Beacon. Ember Bear é um grupo suspeito de espionagem cibernética apoiado pela nação russa, que tem sido observado na arena de ameaças cibernéticas desde março de 2021, principalmente mirando a Ucrânia e a Geórgia, juntamente com organizações na Europa e nos EUA em vários setores industriais, incluindo finanças e farmacêutica. O grupo UAC-0056 vinculado à Rússia pode também estar por trás do ataque de apagamento de dados WhisperGate no início de 2022.
Em 23 de fevereiro de 2023, os pesquisadores revelaram um dos web shells criptografados em um dos recursos web comprometidos, que foi observado como sendo aproveitado por atacantes na noite anterior. Como resultado da atividade maliciosa, um novo arquivo “index.php” foi criado no catálogo raiz da web. O arquivo posterior permitiu a modificação do conteúdo da página inicial do recurso web comprometido. Atores da ameaça se comunicavam com o web shell utilizando endereços IP, incluindo aqueles que pertenciam aos dispositivos vizinhos de outras organizações hackeadas devido ao abuso anterior de contas e conexão habilitada por VPN às organizações correspondentes.
Nesta campanha em andamento, adversários utilizaram uma infame SSH-backdoor CredPump (usada como um módulo de RAM), que permite que os invasores obtenham acesso SSH remoto e habilitem o registro de credenciais via conexão baseada em SSH. Outras variantes de malware descobertas, conhecidas como backdoors HoaxPen e HoaxApe, foram implantadas em fevereiro de 2022 para execução de código, um ano antes de lançar uma campanha maliciosa.
Nos estágios iniciais do ciclo de vida do ataque, os atores da ameaça aplicaram outras amostras de malware, incluindo as utilidades GOST (Go Simple Tunnel) e Ngrok, para implantar o backdoor HoaxPen. Nota-se que os atores da ameaça haviam planejado acesso remoto não autorizado aos sistemas-alvo antecipadamente, antes de lançar uma campanha maliciosa.
Detectando a Atividade Maliciosa do Grupo UAC-0056 Coberta no Alerta CERT-UA#6060
Com a CERT-UA e a CISA emitindo alertas advertindo sobre ações disruptivas em andamento e potenciais associadas à Rússia contra a Ucrânia e seus aliados, organizações e usuários individuais devem tomar medidas imediatas para se defenderem proativamente contra a atividade maliciosa relacionada e aumentarem sua vigilância cibernética. A plataforma Detection as Code da SOC Prime cria um conjunto de regras Sigma para detectar a atividade adversária do notório grupo UAC-0056, que está por trás da última campanha coberta no alerta CERT-UA#6060. As detecções estão alinhadas com o framework MITRE ATT&CK® v12 e são instantaneamente conversíveis para mais de 27+ soluções SIEM, EDR e XDR prontas para implantar no ambiente específico da organização. Para uma busca de conteúdo simplificada, todas as regras Sigma são filtradas pela tag personalizada correspondente “CERT-UA#6060” com base no identificador do alerta CERT-UA.
Clique no botão Explore Detection para acessar a lista completa de algoritmos de detecção relevantes enriquecidos com contexto de ameaças cibernéticas em profundidade, como referências ATT&CK e links CTI, mitigações e binários executáveis vinculados às regras Sigma.
Contexto MITRE ATT&CK
Para explorar o contexto por trás da mais recente campanha maliciosa UAC-0056 relatada no alerta CERT-UA#6060, todas as regras Sigma dedicadas são automaticamente marcadas com ATT&CK abordando as táticas e técnicas correspondentes:
Desde 24 de fevereiro de 2022, a Rússia lançou mais de 2.100 ataques cibernéticos contra a Ucrânia e seus aliados, alguns dos quais foram planejados anteriormente, como no caso da atividade mais recente dos hackers UAC-0056. Para ajudar as equipes a estarem sempre à frente das ameaças atuais e emergentes associadas à Rússia, aproveite a assinatura baseada em caridade #Sigma2SaveLives que oferece acesso direto a mais de 500 regras Sigma contra grupos APT apoiados pela nação russa, junto com 50 detecções de sua escolha. Obtenha a assinatura com 100% da receita doada para ajudar na defesa da Ucrânia em https://my.socprime.com/pricing/.