Detecção de Malware Remcos: Grupo UAC-0050 Alvo de Entidades Governamentais Ucranianas em Ataques de Phishing Usando Software de Acesso Remoto

[post-views]
Fevereiro 07, 2023 · 5 min de leitura
Detecção de Malware Remcos: Grupo UAC-0050 Alvo de Entidades Governamentais Ucranianas em Ataques de Phishing Usando Software de Acesso Remoto

Remcos Trojan (Controle Remoto e Vigilância) é frequentemente entregue por agentes de ameaça que utilizam vetores de ataque de phishing. O malware atualmente ressurge na arena de ameaças cibernéticas para atacar entidades governamentais da Ucrânia. 

Em 6 de fevereiro de 2023, os pesquisadores de cibersegurança divulgaram um novo alerta CERT-UA#5926 detalhando a distribuição massiva de e-mails que se passam pela Ukrtelecom JSC visando espalhar o malware Remcos em sistemas comprometidos. Os atacantes utilizaram um anexo RAR malicioso em e-mails de phishing direcionados a órgãos estatais ucranianos. De acordo com a investigação, a atividade adversária é atribuída ao coletivo de hackers rastreado como UAC-0050. 

Atividade Maliciosa do UAC-0050 Espalhando Malware Remcos: Análise de Ataque

Remcos é um software de acesso remoto desenvolvido pela BreakingSecurity. Uma vez instalado, a ferramenta abre uma porta dos fundos no sistema comprometido, permitindo acesso total ao usuário remoto. Desde 2020, os atacantes têm utilizado ativamente Remcos RAT em ataques de phishing explorando o tema COVID-19. Os operadores de malware aproveitam múltiplos TTPs em suas campanhas adversárias, utilizando o Remcos para espionar suas vítimas, roubar credenciais, exfiltrar dados e executar comandos.  

O mais recente alerta CERT-UA#5926 alerta os defensores cibernéticos sobre a atividade maliciosa recém-observada que utiliza o malware Remcos. Nestes ataques, os agentes de ameaça exploram o vetor de ataque de phishing para espalhar e-mails disfarçando o remetente como Ukrtelecom JSC. Os adversários visam atrair vítimas para abrir e-mails com o assunto de carta de demanda e contendo um anexo de arquivo RAR que imita os detalhes do pagamento financeiro exigido. O arquivo de isca contém um arquivo de texto com o código de acesso pessoal e outro arquivo RAR protegido por senha. Este último inclui um arquivo executável que instala o malware de administração remota Remcos no computador da vítima.  

Os pesquisadores da CERT-UA vinculam a atividade maliciosa ao coletivo de hackers UAC-0050, que está em destaque desde pelo menos 2020. De acordo com a investigação, agentes de ameaça lançaram seus ataques anteriores utilizando outro software de administração remota conhecido como RemoteUtilities. Com base nos padrões de comportamento observados do adversário e nas capacidades ofensivas do malware, os ataques em andamento visando órgãos estatais ucranianos estão altamente ligados a operações de ciberespionagem.    

Detectando Ataques Cibernéticos do UAC-0050 Contra Órgãos Estatais Ucranianos Cobertos no Alerta CERT-UA#5926

Com os volumes crescentes de ataques cibernéticos de phishing, os defensores estão se esforçando para fortalecer suas capacidades para identificar a infecção em tempo hábil. A SOC Prime permite que as organizações fiquem à frente dos adversários e se defendam proativamente contra ataques cibernéticos de qualquer escala, utilizando várias cepas de malware. A Plataforma Detection as Code da SOC Prime cura um conjunto de regras Sigma para a detecção de malware Remcos usado nos ataques de phishing em andamento e atribuído à atividade adversária do grupo de hackers UAC-0050. Para uma busca de conteúdo simplificada, todos os algoritmos de detecção são filtrados pelas tags personalizadas correspondentes (“UAC-0050” ou “CERT-UA#5926”) com base nas IDs do grupo e do alerta CERT-UA.

Clique no botão Explore Detections abaixo para acessar imediatamente as regras Sigma dedicadas cobertas no alerta CERT-UA#5926. Todas as detecções estão prontas para implantação nas soluções líderes do setor SIEM, EDR, BDP e XDR e são enriquecidas com contexto de ameaças cibernéticas aprofundadas, como referências MITRE ATT&CK® , links CTI, binários executáveis e metadados operacionais.

Explore Detections

Além disso, os engenheiros de segurança podem agilizar sua busca por indicadores de compromisso associados à atividade maliciosa do UAC-0050 ao utilizar a ferramenta Uncoder CTI . Basta colar o arquivo, host ou rede IOCs fornecidos pela CERT-UA na interface do usuário e gerar instantaneamente consultas personalizadas de caça prontas para buscar por ameaças relacionadas ao Remcos em seu ambiente selecionado.

Uncoder CTI: Usando IOCs do Alerta CERT-UA#5926

Contexto MITRE ATT&CK

Para mergulhar no contexto abrangente por trás da campanha adversária do grupo UAC-0050 coberto no último alerta CERT-UA, todas as regras Sigma mencionadas acima são marcadas com ATT&CK v12 abordando as táticas e técnicas correspondentes: 

Navegue pelo Motor de Busca de Regras Sigma da SOC Prime para acessar todo o conjunto de detecção contra o malware Remcos e aprender sobre ameaças atuais & emergentes mais rápido do que nunca, priorizar em minutos e implantar seu código de detecção rapidamente.  

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção do Malware Koske: Nova Ameaça Linux Gerada por IA em Atividade 7 min de leitura Ameaças Mais Recentes Detecção do Malware Koske: Nova Ameaça Linux Gerada por IA em Atividade by Veronika Telychko Inteligência de Ameaças com IA 17 min de leitura SIEM & EDR Inteligência de Ameaças com IA by Veronika Telychko CyberLock, Lucky_Gh0$t e Detecção de Numero: Hackers Armem Instaladores Falsos de Ferramentas de IA em Ataques de Ransomware e Malware 8 min de leitura Ameaças Mais Recentes CyberLock, Lucky_Gh0$t e Detecção de Numero: Hackers Armem Instaladores Falsos de Ferramentas de IA em Ataques de Ransomware e Malware by Veronika Telychko
Todas as notícias