Detecção de Ataques do Ursa (também conhecido como APT28): Adversários Visam Diplomatas Usando um Carro à Venda como Isca de Phishing para Espalhar Malware HeadLace
Índice:
O nefário coletivo hacker patrocinado pelo estado russo APT28, também conhecido como Fighting Ursa, está ganhando destaque. Desde o início da primavera de 2024, os adversários têm como alvo os diplomatas em uma campanha ofensiva de longo prazo, usando um carro à venda como isca de phishing para distribuir o malware HeadLace.
Detectar Ataques de Fighting Ursa aka APT28 Espalhando Malware HeadLace
A infraestrutura adversária em constante evolução do notório coletivo hacker Fighting Ursa ou APT28 destaca a necessidade de fortalecer as defesas das organizações para obter uma vantagem competitiva sobre os crescentes ataques cibernéticos do grupo. A Plataforma SOC Prime para defesa cibernética coletiva reúne uma coleção de algoritmos de detecção para ajudar as equipes de segurança a prevenir proativamente os ataques de Fighting Ursa, incluindo a mais recente campanha contra diplomatas espalhando o malware HeadLace.
Clique no Explorar Detecções botão abaixo para acessar as regras Sigma curadas filtradas pela tag correspondente com base no identificador do grupo. Os algoritmos de detecção fornecidos são enriquecidos com informações relevantes sobre ameaças, mapeados para o framework MITRE ATT&CK®, e estão prontos para serem convertidos instantaneamente no formato de linguagem SIEM, EDR ou Data Lake escolhido, de mais de 30 plataformas suportadas.
Engenheiros de segurança em busca de conteúdo de detecção de alta qualidade para analisar retrospectivamente os TTPs do APT28 também podem seguir este link. Para mais conteúdo SOC relacionado, as organizações podem buscar no Marketplace de Detecção de Ameaças da SOC Prime usando a tag “Forest Blizzard” baseada em outro grupo identificado ou seguir este link.
Análise de Ataque de Fighting Ursa
Pesquisadores da Palo Alto recentemente descobriram uma campanha maliciosa em andamento que tem como alvo principal os diplomatas e é atribuída ao coletivo hacker ligado à Rússia, conhecido como Fighting Ursa (aka APT28, Fancy Bear, Forest Blizzard, STRONTIUM, Pawn Storm, ou Sofacy Group). Desde pelo menos março de 2024, um notório grupo apoiado pelo estado tem anunciado um carro à venda como isca de phishing para espalhar um backdoor modular para Windows conhecido como HeadLace, que opera em etapas, provavelmente para evitar detecção e dificultar a análise do malware.
APT28, um grupo apoiado pela GRU associado à Unidade 26165 da agência de inteligência militar da Rússia, tem sido observado na arena de ameaças cibernéticas há duas décadas. Desde a invasão em larga escala da Ucrânia pela Rússia, a gangue de hackers também tem lançado uma série de campanhas ofensivas usando o vetor de ataque de phishing, tendo como principal alvo os órgãos estatais ucranianos juntamente com os aliados do país.
Notavelmente, os grupos hackers russos têm empregado temas de isca de phishing de carro diplomático à venda por anos. Essas iscas muitas vezes atraem diplomatas, estimulando os alvos a clicar no conteúdo malicioso. Em 2023, outro coletivo hacker apoiado pela Rússia conhecido como APT29 (aka NOBELIUM ou CozyBear) tem usado um BMW à venda como isca de phishing visando missões diplomáticas na Ucrânia. Fighting Ursa é notório por reutilizar estratégias adversárias bem-sucedidas para suas próprias operações ofensivas, exibindo padrões de comportamento semelhantes na campanha mais recente.
A cadeia de infecção é desencadeada por uma URL falsa hospedada pelo serviço legítimo Webhook.site. Fighting Ursa explorou o Webhook.site para criar uma URL que entregou uma página HTML maliciosa. O HTML armado contém vários elementos projetados para automatizar o ataque. Inicialmente, verifica se o computador visitante roda em Windows. Caso o sistema não seja baseado em Windows, redireciona o usuário alvo para uma imagem de isca hospedada no ImgBB, especificamente um Audi Q7 Quattro SUV. O anúncio fraudulento é intitulado “Carro Diplomático à Venda”. Como o payload final tem como alvo o Windows, essa verificação de SO provavelmente garante que as ações subsequentes sejam executadas apenas para usuários de Windows. Então, o HTML gera um arquivo ZIP a partir de texto Base64 dentro do HTML, oferece-o para download, e tenta abri-lo via JavaScript.
O arquivo malicioso contém um executável legítimo da calculadora do Windows disfarçado como um arquivo de imagem, um DLL e um script batch. O executável da calculadora carrega o DLL malicioso, parte do backdoor HeadLace, que executa o script batch. Este último executa um comando codificado em Base64 para recuperar um arquivo de outra URL do Webhook.site, salva-o como um arquivo de imagem na pasta de downloads, altera a extensão do arquivo para .cmd para execução, e depois o exclui para remover quaisquer vestígios.
Com sua infraestrutura em constante evolução, uso de iscas diversas e capacidade de reaproveitar táticas adversárias, Fighting Ursa permanece um jogador persistente na arena de ameaças cibernéticas. A dependência do grupo em serviços web legítimos para fins ofensivos incentiva os defensores a restringirem o acesso a esses serviços e a examinarem o seu uso para reduzir a superfície de ataque. Confie no Attack Detective da SOC Prime para maximizar a visibilidade de ameaças e abordar efetivamente lacunas de cobertura de detecção, obter casos de uso de SIEM prioritários para facilmente gerar alertas de baixo ruído e alto valor, e entregar suavemente capacidade de caça para agir mais rápido que os atacantes.
