Detectando a Campanha SmokeLoader: UAC-0006 Continua Alvejando Instituições Financeiras Ucranianas em uma Série de Ataques de Phishing

coletivo de hackers UAC-0006 está em ascensão, visando ativamente organizações ucranianas com malware SmokeLoader em uma campanha de longa duração voltada para lucros financeiros. O mais recente alerta de cibersegurança CERT-UA detalha que o grupo hacker lançou um terceiro ataque cibernético massivo consecutivo, ameaçando gravemente os sistemas bancários em todo o país.

Analisando a Campanha de Phishing UAC-0006 Visando a Distribuição de SmokeLoader

Na esteira da operação ofensiva do UAC-0006 em meados de julho de 2023, os adversários persistentemente visam o setor financeiro ucraniano com um terceiro ataque consecutivo nos últimos dez dias, utilizando um vetor de phishing para entregar o malware SmokeLoader.

Uma análise detalhada do CERT-UA revela que o ataque mais recente envolve o uso de um arquivo ZIP poliglota dedicado, cujo conteúdo varia com base no programa de extração. Se o WinRAR for utilizado, o ZIP poliglota conterá uma extensão .pdf or .docx , levando a uma sequência de downloader JavaScript, arquivo SFX, script BAT e arquivos de fachada, atraindo as vítimas com iscas de temas financeiros, particularmente relacionadas a instruções de pagamento do Privat Bank, um dos maiores bancos da Ucrânia.

Com mais de 1000 dispositivos atualmente escravizados pela botnet, o CERT-UA afirma com alto nível de confiança que os adversários estão aproveitando dados de autenticação comprometidos de ataques anteriores para executar campanhas de e-mail de phishing em grande escala.

À medida que as atividades maliciosas do UAC-0006 aumentam, o CERT-UA antecipa um aumento notável na fraude cibernética visando sistemas bancários remotos. Para enfrentar essas ameaças, os defensores recomendam fortemente a implementação de medidas de mitigação, como restringir o uso de utilitários como wscript.exe, cscript.exe, powershell.exe e mshta.exe, enquanto implementam filtragem de fluxo de informações de saída.

Detectando a Campanha SmokeLoader pelo UAC-0006 Detalhada nos Alertas CERT-UA#7065, CERT-UA#7076

Para ajudar os defensores cibernéticos a impedir atividades maliciosas voltadas para infecções por SmokeLoader, a Plataforma SOC Prime para defesa cibernética coletiva fornece um conjunto de regras Sigma curadas voltadas para a detecção de ataques do UAC-0006.

Pressione o botão Explore Detections abaixo para obter um lote extenso de regras Sigma dedicadas que permitem que os profissionais de segurança identifiquem tempestivamente os TTPs relevantes utilizados pelo coletivo UAC-0006. Para agilizar a pesquisa de conteúdo do SOC, aplique as tags correspondentes “UAC-0006”, “CERT-UA#7065”, “CERT-UA#7066” ou “SmokeLoader” para selecionar algoritmos de detecção aprimorados com contexto de ameaças cibernéticas e automaticamente convertíveis para dezenas de formatos SIEM, EDR, XDR.

Explore Detections

Os engenheiros de segurança também podem contar com Uncoder AI para procurar de forma integrada IOC listados nos CERT-UA#6613, CERT-UA#6757, CERT-UA#6999 alertas criando consultas personalizadas de IOC e executando-as no ambiente selecionado em tempo real.

Contexto MITRE ATT&CK

Os defensores cibernéticos também podem obter insights sobre o contexto por trás dos últimos ataques de phishing pelo UAC-0006 em mais detalhes explorando a tabela abaixo, que fornece a lista de táticas e técnicas relevantes do adversário conforme o ATT&CK: