Detecção do Remcos RAT: Hackers do UAC-0050 Lançam Ataques de Phishing Imitando o Serviço de Segurança da Ucrânia

Pesquisadores da CERT-UA publicaram recentemente um aviso inovador que cobre ataques de phishing em andamento contra a Ucrânia envolvendo a distribuição de Remcos RAT. O grupo responsável por esta campanha ofensiva, que envolve a distribuição massiva de e-mails falsificados com uma identidade falsa de remetente se passando pelo Serviço de Segurança da Ucrânia, é rastreado como UAC-0050.

Análise do Ataque UAC-0050 Coberta no Alerta CERT-UA#8026

Em 13 de novembro de 2023, a CERT-UA divulgou um aviso de segurança revelando uma nova campanha de phishing distribuindo Remcos RAT e atribuída ao grupo UAC-0050. Este último é considerado responsável por alguns ataques de phishing visando organizações ucranianas em fevereiro de 2023. Ambas as operações maliciosas envolveram a disseminação do Trojan Remcos e confiaram em uma identidade falsa de remetente para atrair as vítimas a abrir e-mails armados.

Na campanha mais recente, os atacantes aproveitam e-mails de phishing personificando o remetente como o Serviço de Segurança da Ucrânia e envolvendo arquivos RAR de isca. O último arquivo dentro do email malicioso inclui um arquivo EXE que leva ao deployment do Remcos nas instâncias impactadas. Os adversários mantêm persistência criando uma entrada na chave Run do registro do SO.

O arquivo de configuração do malware contém 8 endereços IP dos servidores C2 que estão ligados ao popular provedor de hospedagem na web da Malásia conhecido como Shinjiru. Notavelmente, os nomes de domínio são registrados via a empresa russa REG.RU.

Detectar os Últimos Ataques de Phishing do UAC-0050 Usando Remcos RAT

Ao longo de 2023, o UAC-0050 lançou uma série de ataques contra a Ucrânia abusando do vetor de ataque de phishing e distribuindo o Trojan Remcos, incluindo a campanha adversária mais recente abordada no alerta CERT-UA#8026. A Plataforma SOC Prime arma os defensores com algoritmos de detecção contra ameaças existentes e emergentes, para que as organizações possam continuamente aumentar sua resiliência cibernética. Siga o link abaixo para obter regras Sigma relevantes filtradas pela tag personalizada “CERT-UA#8026” para detectar proativamente ataques de phishing cobertos no último aviso da CERT-UA.

Regras Sigma para detectar ataques pelo UAC-0050 cobertos no alerta CERT-UA#8026

Para acessar a lista abrangente de conteúdo SOC para outros ataques contra a Ucrânia vinculados ao UAC-0050, pressione Explorar Detecções. O conteúdo de detecção está mapeado para o framework MITRE ATT&CK, enriquecido com CTI e metadados relevantes, e pode ser usado em várias plataformas de análise de segurança enquanto preenche a lacuna entre múltiplos formatos de linguagem.

Explorar Detecções

As equipes também podem procurar por arquivos, hosts e redes IOCs fornecidos pela CERT-UA usando a IDE de código aberto da SOC Prime para Engenharia de Detecção, que agora suporta embalagem de IOCs. Experimente Uncoder IO para criar automaticamente consultas de busca otimizadas para desempenho e executá-las imediatamente em seu ambiente SIEM ou EDR, economizando segundos em sua investigação de ameaças.

Contexto MITRE ATT&CK

Aproveitar o MITRE ATT&CK fornece visibilidade granular sobre o contexto das operações ofensivas atribuídas ao UAC-0050. Explore a tabela abaixo para ver a lista completa de regras Sigma dedicadas abordando as táticas, técnicas e sub-técnicas correspondentes do ATT&CK.