Malware FormBook/XLoader é Utilizado para Alvejar Órgãos Governamentais Ucranianos: Alerta CERT-UA

[post-views]
Março 22, 2022 · 4 min de leitura
Malware FormBook/XLoader é Utilizado para Alvejar Órgãos Governamentais Ucranianos: Alerta CERT-UA

Este artigo destaca a pesquisa original conduzida pelo CERT-UA: https://cert.gov.ua/article/37688 

Em 9 de março de 2022, o Centro de Resposta a Emergências de Computador da Ucrânia (CERT-UA) relatou que órgãos governamentais ucranianos foram atingidos por um ciberataque utilizando o malware FormBook/XLoader. O malware era entregue se o usuário abrisse um anexo de e-mail malicioso.

FormBook e seu sucessor mais recente, XLoader, são ladrões de informações distribuídos como Malware-como-um-Serviço (MaaS). São usados para captar a entrada do usuário, tirar capturas de tela e até mesmo procurar e interagir com arquivos na máquina infectada.

Governo Ucraniano Alvo do FormBook/XLoader: Pesquisa CERT-UA

Um e-mail com o assunto “Carta sobre aprovação de provisão de caixa” foi enviado em massa aos órgãos governamentais ucranianos. O conteúdo do e-mail está relacionado à guerra e ao fornecimento de ajuda financeira (aparentemente, o texto foi automaticamente traduzido para o ucraniano).

O e-mail tem um anexo XLS nomeado лист підтримки.xlsx. Se aberto, ativa uma macro que baixa e executa o malware FormBook/XLoader v2.5. Ainda assim, o conteúdo isca do documento não parece ser relevante para os cidadãos ucranianos.

O malware rouba credenciais armazenadas no software na máquina afetada e as envia para o servidor de comando e controle (C&C) dos atacantes.

Esses ataques têm uma natureza sistêmica e estão associados ao cluster de atividade rastreado sob o identificador UAC-0041.

Gráficos fornecidos pelo CERT-UA para ilustrar o ciberataque com FormBook/XLoader entregue via anexo de e-mail

Indicadores Globais de Comprometimento (IOCs)

Arquivos

93feeeab72617e4f5630fd79f2fdd4b6    лист підтримки.xlsx
95d60664267d442e99c41e2aa3baff68    vbc.exe
5a2c58b9ad136ecaea903e47ca7d0727    formbook.exe (Formbook)

Indicadores de Rede

mariya@posish[.]club
104[.]168.247.233
hxxp://103[.]167.92.57/xx_cloudprotect/vbc.exe
103[.]167.92.57
gobits3[.]com

A lista de nomes de domínio falsos:humamzarodi[.]info
cillacollection[.]com
phy[.]wiki
londonkhaboos[.]com
robostetics[.]com
bryanheritagefarm[.]com
writingdadsobituary[.]com
uitzendstudent[.]online
kaeltefath[.]com
ooop63[.]website
oncasi-tengoku[.]com
weihiw[.]store
gameshill[.]net
clublebron[.]com
fromuktosa[.]com
hilversumrp[.]com
formigocerdanya[.]com
jokeaou[.]com
bvgsf[.]xyz
reallyreadyservices[.]com
zrbusiness[.]com
homephotomarketing[.]com
evpunk[.]com
hermanmitchels[.]com
globalprotectionllc[.]com
carlab[.]rentals
aocpaysage[.]com
g3kbwq[.]xyz
ojosnegroshacienda[.]com
greenvilletaxfirm[.]com
circuitoristorazione[.]com
chicklet[.]biz
allegiancebookkeeper[.]com
xyyvivo[.]com
cassandracheatham[.]com
gobits3[.]com
upcxi[.]xyz
adjd[.]info
hdwix[.]online
sbxtv[.]info
abodhakujena[.]com
yhomggsmtdynchb[.]store
jeffreylau[.]xyz
lovelypersonal[.]com
lwmdqj[.]com
tapelm[.]com
ulasan-online[.]com
roleplayhr[.]com
avilarts[.]com
marygracerenella[.]com
yellowumbrellamarketing[.]com
ilyapershin[.]com
bellkennedy[.]online
muhammadsaqib[.]tech
certuslogistics[.]com
unforgettableamour[.]com
jtelp[.]com
movinonuprva[.]com
xn--ltda-epa[.]com
knolmail[.]xyz
houstonorganicpestcontrol[.]com
befancie[.]com
typejitem[.]store
zqt2578[.]com
astrologyplatform[.]com

Indicadores de Hosts

%PUBLIC%vbc.exe

Consultas de Caça Baseadas em IOC para Detectar FormBook/XLoader

Para permitir que profissionais de segurança convertam automaticamente os IOCs acima mencionados em consultas de caça personalizadas prontas para serem executadas em quase 20 dos ambientes de SIEM ou XDR mais populares, a Plataforma SOC Prime oferece a ferramenta Uncoder CTI now disponível gratuitamente para todos os usuários registrados até 25 de maio de 2022.

 

Regras Comportamentais Sigma para Detectar FormBook/XLoader

Para detectar padrões comportamentais e atividades associadas ao malware FormBook/XLoader, os profissionais de segurança podem usar o conteúdo baseado em comportamento Sigma dedicado publicado na Plataforma SOC Prime:

Comportamento do Malware FormBook (ColorCPL-LSASS Gera CMD)

Execução suspeita de colorcpl.exe (via linha de comando)

Contexto MITRE ATT&CK®

Para ajudar os profissionais de segurança a entender melhor o contexto de um ataque usando o FormBook/XLoader, todas as regras baseadas em Sigma que o detectam estão alinhadas com o framework MITRE ATT&CK abordando as seguintes táticas e técnicas:

Tactics

Techniques

Sub-techniques

Sigma Rules

Execution

Command and Scripting Interpreter (T1059)

Visual Basic (T1059.005), JavaScript (T1059.007)

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Acessar Funcionalidade do Uncoder AI via API 2 min de leitura Plataforma SOC Prime Acessar Funcionalidade do Uncoder AI via API by Steven Edwards Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI 2 min de leitura Plataforma SOC Prime Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI by Steven Edwards Traduzir do Sigma para 48 Idiomas 2 min de leitura Plataforma SOC Prime Traduzir do Sigma para 48 Idiomas by Steven Edwards
Todas as notícias