Detecção de Malware MAGICSPELL: Hackers do UAC-0168 Lançam Ataque Direcionado Usando o Tema da Adesão da Ucrânia à OTAN como Isca de Phishing

[post-views]
Julho 06, 2023 · 4 min de leitura
Detecção de Malware MAGICSPELL: Hackers do UAC-0168 Lançam Ataque Direcionado Usando o Tema da Adesão da Ucrânia à OTAN como Isca de Phishing

Pesquisadores da CERT-UA descobriram recentemente uma cópia fraudulenta da versão em inglês do site do Congresso Mundial Ucraniano em https://www.ukrainianworldcongress.org/. O recurso web falso contém alguns documentos DOCX que desencadeiam uma cadeia de infecção ao serem abertos. Como resultado da cadeia de ataque, os hackers podem implantar a carga MAGICSPELL destinada a baixar, decifrar e manter a persistência e o lançamento de outro carregador para espalhar ainda mais a infecção. A atividade maliciosa identificada é rastreada como UAC-0168.

Análise de Ataque Direcionado UAC-0168 Coberta no Alerta CERT-UA#6940

Em 5 de julho de 2023, os pesquisadores da CERT-UA emitiram o mais recente alerta CERT-UA#6940 cobrindo a atividade adversária direcionada atribuída ao grupo de hackers UAC-0168. Nesta campanha maliciosa, os atores de ameaças aproveitam a cópia fraudulenta de uma versão legítima do site do Congresso Mundial Ucraniano para atrair vítimas a abrir os arquivos DOCX maliciosos e iniciar a infecção. O recurso web falso inclui dois documentos DOCX com títulos relacionados à próxima Cúpula da OTAN e à adesão da Ucrânia à OTAN, ambos contendo um documento RTF com endereços URL maliciosos e um caminho UNC. 

Os atores de ameaças estabelecem comunicação via protocolos HTTP e SMB. Abrir os arquivos DOCX mencionados acima e a exploração bem-sucedida das vulnerabilidades relevantes leva ao download e lançamento de um conjunto de arquivos maliciosos, incluindo um arquivo .chm com arquivos HTM e arquivos de web archive, juntamente com um arquivo URL e arquivos VBS que espalham ainda mais a infecção. Este último permite que os hackers lancem outros arquivos localizados no recurso SMB em uma variedade de formatos, incluindo EXE e DLL. 

Ao longo da investigação, pesquisadores de cibersegurança revelaram um arquivo “calc.exe” identificado como um carregador MAGICSPELL, que é capaz de implantar outros arquivos executáveis maliciosos nos sistemas comprometidos e manter sua persistência. 

A análise do recurso SMB utilizado por atacantes revelou 195 endereços IP distribuídos por 30 países, a maioria pertencente a servidores VPN e organizações de pesquisa. 

De acordo com a CERT-UA, usar o nome do Congresso Mundial Ucraniano junto com o tópico da adesão da Ucrânia à OTAN como iscas de phishing liga o ataque mais recente do UAC-0168 à próxima cúpula da OTAN, que acontecerá nos dias 11-12 de julho em Vilnius, Lituânia. 

Detectando os Últimos Ataques do UAC-0168 Contra a Ucrânia

Para agilizar a investigação de ameaças e ajudar os profissionais de segurança a detectar as operações ofensivas mais recentes relacionadas ao ataque direcionado UAC-0168, a Plataforma SOC Prime oferece um conjunto de regras Sigma selecionadas. Os usuários podem buscar os algoritmos de detecção relevantes filtrando as regras com as tags personalizadas correspondentes “CERT-UA#6940” e “UAC-0168” baseadas no alerta CERT-UA e nos identificadores do grupo. 

Clique no Explorar Detecções botão abaixo para acessar imediatamente a extensa lista de regras Sigma dedicadas à detecção do ataque UAC-0168. Todas as regras estão mapeadas para o MITRE ATT&CK® framework v12, fornecem metadados acionáveis e contexto relevante de ameaça cibernética, e são compatíveis com mais de 28 soluções SIEM, EDR e XDR para atender às necessidades específicas de segurança da organização.

Explorar Detecções

Além disso, as equipes de segurança podem melhorar sua velocidade de caça a ameaças buscando indicadores de compromisso ligados ao coletivo UAC-0168 com a ajuda do Uncoder AI. Basta colar o arquivo, host ou rede IOCs listados pela CERT-UA no alerta mais recente na ferramenta e selecionar o tipo de conteúdo da consulta-alvo para criar instantaneamente uma consulta IOC otimizada para desempenho que corresponda ao seu ambiente e às suas necessidades de segurança atuais. 

Gerar consultas IOC com IOCs fornecidos no alerta CERT-UA#6940 via Uncoder AI

Contexto MITRE ATT&CK

Para revisar um contexto mais amplo por trás do ataque mais recente do UAC-0168 coberto no alerta CERT-UA#6940, todas as regras Sigma relacionadas estão marcadas com ATT&CK v12 abordando as táticas e técnicas adversárias correspondentes:

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção de Ataques UAC-0226: Nova Campanha de Ciber-espionagem Alvejando Hubs de Inovação Ucranianos e Entidades Governamentais com GIFTEDCROOK Stealer
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Ataques UAC-0226: Nova Campanha de Ciber-espionagem Alvejando Hubs de Inovação Ucranianos e Entidades Governamentais com GIFTEDCROOK Stealer
Veronika Telychko
Detecção de Ataques UAC-0219: Uma Nova Campanha de Ciberespionagem Usando um Stealer PowerShell WRECKSTEEL
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Ataques UAC-0219: Uma Nova Campanha de Ciberespionagem Usando um Stealer PowerShell WRECKSTEEL
Veronika Telychko
Detecção de Ataques UAC-0200: Atividade de Ciberespionagem Visando o Setor de Indústria de Defesa e as Forças Armadas da Ucrânia Usando DarkCrystal RAT
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Ataques UAC-0200: Atividade de Ciberespionagem Visando o Setor de Indústria de Defesa e as Forças Armadas da Ucrânia Usando DarkCrystal RAT
Veronika Telychko