Detecção de PicassoLoader e njRAT: Hackers UAC-0057 Realizam Ataque Direcionado Contra Entidades Públicas Ucranianas

Pesquisadores de cibersegurança emitem um alerta sobre um novo ataque cibernético direcionado pelo grupo UAC-0057 contra funcionários públicos ucranianos, utilizando arquivos XLS que contêm uma macro maliciosa espalhando PicassoLoader malware. O carregador malicioso é capaz de implantar outra cepa maliciosa chamada njRAT para espalhar a infecção ainda mais.

Distribuição de Malware PicassoLoader e njRAT por Hackers UAC-0057: Descrição do Ataque

Em 7 de julho de 2023, pesquisadores do CERT-UA descobriram alguns documentos XLS, um dos quais continha uma macro legítima, enquanto o outro incluía uma maliciosa que foi usada por hackers na fase inicial do ataque. O último visava decodificar, decifrar, manter persistência e executar o nefasto malware PicassoLoader nos sistemas-alvo. Os atacantes também usaram PicassoLoader para baixar, decifrar e executar utilitário de acesso remoto njRAT.

O último ataque pode ser vinculado ao grupo UAC-0057 também identificado como GhostWriter, que esteve por trás da campanha adversária de junho contra uma das universidades ucranianas espalhando PicassoLoader e Cobalt Strike Beacon. Na operação ofensiva em andamento abordada no respectivo alerta CERT-UA#6948, os atacantes UAC-0057 também visam as autoridades públicas ucranianas.

A investigação revelou que o malware PicassoLoader não será implantado por hackers se o sistema tiver proteção de segurança por produtos da Avast, FireEye e Fortinet.

Detectando Ataques UAC-0057 Aproveitando PicassoLoader e njRAT

Para equipar as equipes de segurança com algoritmos de detecção relevantes para identificar proativamente os últimos ciberataques UAC-0057 contra a Ucrânia, a Plataforma SOC Prime para defesa cibernética coletiva agrega um conjunto de regras Sigma. Os usuários podem obter este conjunto de detecção de ameaças pressionando o botão Explorar Detecções abaixo ou aplicando as tags personalizadas relevantes “CERT-UA#6948” e “UAC-0057” associadas ao alerta de segurança e aos identificadores do ator de ameaça.

Todas as regras estão mapeadas para o framework MITRE ATT&CK® v12, acompanhadas por inteligência de ameaça extensiva, e compatível com mais de 28 tecnologias SIEM, EDR e XDR para atender às necessidades específicas de cibersegurança das organizações.

botão Explorar Detecções

Para buscas simplificadas, as equipes podem procurar por IOCs vinculados ao coletivo UAC-0057 com a ajuda do Uncoder AI. Basta copiar e colar os IOCs listados pelo CERT-UA no último alerta no Uncoder AI e escolher o tipo de conteúdo alvo para construir sem esforço uma consulta IOC personalizada que corresponda ao seu stack tecnológico e às suas necessidades atuais de segurança.

Contexto MITRE ATT&CK

Para revisar um contexto mais amplo vinculado à operação UAC-0057 mais recente abordada no alerta CERT-UA#6948, todas as regras Sigma relacionadas estão alinhadas com ATT&CK v12 abordando os TTPs do adversário relevantes: