Detecção de Malware Metasploit Meterpreter: Novo Ataque Cibernético de Phishing a Entidades Governamentais Ucranianas Vinculado a Grupos UAC-0098 e TrickBot
Índice:
Em 28 de abril de 2022, o CERT-UA publicou um alerta notificando sobre o mais recente ataque cibernético de phishing contra entidades governamentais ucranianas usando o framework Metasploit. A atividade maliciosa pode ser atribuída aos padrões de comportamento adversário de um grupo rastreado como UAC-0098. Além disso, acredita-se que este ataque mais recente esteja relacionado à atividade do coletivo hacker TrickBot, uma infame gangue de ransomware ligada à Rússia, conhecida como operadora de botnets sofisticados que colabora com atores de ameaça avançada, como FIN6 and Ryuk, em campanhas maliciosas direcionadas projetadas para distribuição de malware.
O que é o Payload Meterpreter do Metasploit: Análise de Ataque Cibernético
Metasploit é uma estrutura de código aberto para criar um ambiente de teste de penetração para desenvolver, testar e executar exploits. É uma ferramenta amplamente adotada e poderosa utilizada tanto por atores de ameaça quanto por hackers white-hat para sondar vulnerabilidades em redes e servidores de interesse. O framework Metasploit oferece uma variedade de ferramentas e recursos para testes de penetração, incluindo um conhecido Meterpreter.
O malware Meterpreter entregue no mais recente ataque cibernético contra órgãos do estado ucraniano é uma carga maliciosa sofisticada que utiliza comunicações criptografadas, se injeta no processo comprometido e pode migrar suavemente por redes, facilitando a entrega da infecção e deixando evidências forenses insuficientes.
Em 28 de abril de 2022, o CERT-UA lançou um alerta relatando uma campanha de phishing que usava uma isca temática de guerra e distribuía arquivos ISO maliciosos. Particularmente, os atores de ameaça disseminaram arquivos fraudulentos de Decreto do Presidente da Ucrânia, que continham um arquivo de isca DOCX, um arquivo de atalho LNK, um script PowerShell e um arquivo executável. Uma vez lançado, o arquivo LNK aciona a cadeia de infecção executando um script PowerShell, que por sua vez, abre um arquivo DOCX e, em seguida, executa um arquivo EXE. Como resultado, o computador da vítima é infectado por malware Meterpreter.
A investigação do CERT-UA atribui a campanha aos grupos UAC-0098 e TrickBot apoiados pela Rússia, de acordo com as semelhanças observadas nos padrões de comportamento malicioso.
Regras Sigma para Detectar a Campanha do UAC-0098 e TrickBot
Para proteger a infraestrutura da organização contra ataques cibernéticos de phishing por hackers UAC-0098, incluindo a última campanha que utiliza Metasploit Meterpreter, a Equipe SOC Prime forneceu um lote de regras Sigma dedicadas:
Regras Sigma para detectar a atividade maliciosa do grupo UAC-0098
Registre-se na plataforma Detection as Code da SOC Prime para acessar todo o conteúdo via um link acima ou realizar uma pesquisa personalizada usando a tag correspondente #UAC-0098.
Os profissionais de segurança também podem buscar ameaças relacionadas à atividade maliciosa do UAC-0098 usando o conteúdo de detecção mencionado acima via módulo Quick Hunt.
Contexto MITRE ATT&CK®
Para se aprofundar no contexto do mais recente ataque de phishing dos grupos UAC-0098 e TrickBot atingindo órgãos estatais ucranianos com o Metasploit Meterpreter, todas as regras Sigma relevantes estão alinhadas com o framework MITRE ATT&CK abordando táticas e técnicas correspondentes:
Tactics | Techniques | Sigma Rules |
Initial Access | Phishing (T1566) | |
Defense Evasion | Subvert Trust Controls (T1553) | |
Signed Binary Proxy Execution (T1218) | ||
Masquerading (T1036) | ||
Execution | Command and Scripting Interpreter (T1059) |
