Detectar Malware SmokeLoader: UAC-0006 Ataca Novamente para Alvejar a Ucrânia em uma Série de Ataques de Phishing
Índice:
Logo após os gigantescos ataques de phishing lançados pelo UAC-0006 no início de maio de 2023, a CERT-UA alerta os defensores cibernéticos sobre uma nova onda de ataques cibernéticos resultando em infecções por SmokeLoader. A última investigação indica que os adversários espalham cada vez mais e-mails de phishing com iscas financeiras e usam anexos ZIP/RAR para distribuir amostras maliciosas nas instâncias-alvo.
Analisando os ataques de phishing UAC-0006 direcionados à distribuição do SmokeLoader
Em 29 de maio de 2023, os especialistas da CERT-UA divulgaram um novo alerta CERT-UA#6757 detalhando a campanha de phishing em andamento lançada pelo coletivo hacker UAC-0006. Ao aproveitar anexos maliciosos com um downloader JavaScript dedicado, os adversários entregam o SmokeLoader aos sistemas-alvo. Especificamente, os hackers utilizam arquivos ZIP ou RAR contendo arquivos HTML ou VHDX maliciosos. Caso sejam extraídos, o arquivo ativa o código JavaScript que, por sua vez, baixa e executa o arquivo executável que posteriormente distribui o SmokeLoader para espalhar ainda mais a infecção.
A equipe da CERT-UA identifica uma série de atualizações proeminentes na cadeia de ataque do UAC-0006 em comparação com a campanha de phishing semelhante lançada no início de maio de 2023. Especificamente, os especialistas observam que os atacantes tendem a usar múltiplas cadeias de infecção. Além disso, a amostra do SmokeLoader usada na última campanha contém 26 links de URL para um servidor que controla um botnet. Adicionalmente, a CERT-UA identificou um Cobalt Strike Beacon malicioso aplicado durante as intrusões, o que indica que o UAC-0006 pretende expandir seu conjunto de ferramentas.
Detectando a última atividade adversária do UAC-0006
Apenas algumas semanas após os massivos ataques de phishing espalhando SmokeLoader, os agentes de ameaça do UAC-0006 responsáveis por intrusões anteriores ressurgiram para atacar novamente. Devido às mudanças nos TTPs dos adversários e ao uso de várias cadeias de infecção na última operação ofensiva, as organizações podem estar potencialmente expostas a riscos mais graves, o que requer atenção urgente dos defensores cibernéticos. A SOC Prime lançou recentemente um conjunto de regras Sigma relevantes para detectar oportunamente a atividade maliciosa do grupo UAC-0006 coberta no último alerta CERT-UA#6757. Todo o conteúdo de detecção é filtrado pelas tags personalizadas “CERT-UA#6757” ou “UAC-0006” de acordo com o alerta correspondente e os IDs do grupo, permitindo que os pesquisadores agilizem a busca de conteúdo e as atividades de caça a ameaças.
Pressione o botão Explorar Detecções para acessar instantaneamente toda a coleção de regras Sigma para detecção de ataques UAC-0006 mapeadas para MITRE ATT&CK® e automaticamente convertíveis para soluções líderes da indústria como SIEM, EDR e XDR. Para explorar metadados relevantes, links ATT&CK e referências CTI junto com outros contextos de ameaças cibernéticas também estão disponíveis.
Os membros da equipe SOC também são convidados a procurar por IOCs ligados à atividade maliciosa do UAC-0006 utilizando Uncoder AI, uma estrutura de inteligência aumentada que serve como ferramenta definitiva para caçadores de ameaças e engenheiros de detecção, permitindo converter IOCs em consultas IOC personalizadas sem limites. Basta inserir os IOCs de arquivo, host ou rede fornecidos no alerta CERT-UA#6757 na ferramenta, selecionar a plataforma de sua escolha, aplicar as configurações de consulta personalizadas para suas necessidades de segurança, e estar pronto para caçar ameaças relevantes instantaneamente em seu ambiente SIEM ou EDR.
Contexto ATT&CK do MITRE
Para explorar os TTPs utilizados durante o ataque mais recente pelo grupo hacker UAC-0006 que espalha SmokeLoader, todas as regras Sigma mencionadas acima são mapeadas para ATT&CK e abordam as táticas e técnicas correspondentes:
