Atores de Ameaça Aproveitam E-mails de Spear-Phishing Imitando Serviço UKR.NET para Espionagem

Este artigo destaca a pesquisa original fornecida pelo CERT-UA: https://cert.gov.ua/article/37788 

Em 16 de março de 2022, a Equipe de Resposta a Emergências de Computador da Ucrânia CERT-UA identificou uma campanha de spear-phishing destinada a infectar organizações ucranianas com malware de ciberespionagem. Com baixo nível de confiança, dadas as táticas utilizadas, o CERT-UA associa a atividade identificada com o coletivo APT28, apoiado pela Rússia (UAC-0028). O spear-phishing tem sido o principal vetor de ataques do APT28 desde pelo menos junho de 2021. Os próximos passos dos adversários incluem a exfiltração de dados ou o uso dos e-mails comprometidos para novos ataques de spear-phishing em alvos precisos.

Campanha de Spear-Phishing Infecta Organizações Ucranianas com Spyware: Investigação CERT-UA

A investigação do CERT-UA revela uma campanha de spear-phishing distribuindo e-mails que imitam mensagens do UKR.NET e contêm um código QR com uma URL codificada criada por meio de um dos serviços de encurtamento de URLs. Ao abrir esta URL, a vítima é redirecionada para um site que tenta falsificar a página de redefinição de senha do UKR.NET. Os dados inseridos pelo usuário via solicitação HTTP POST são enviados para um recurso web implantado por atacantes na plataforma Pipedream.

Gráficos fornecidos pelo CERT-UA ilustrando a campanha de spear-phishing destinada à entrega de spyware

Indicadores Globais de Comprometimento (IOCs)

hxxps://tinyurl[.]com/2p8kpb9v
hxxps://panelunregistertle-348.frge[.]io/
hxxps://eoy7zvsvn6xfcmy.m.pipedream[.]net
hxxps://eo9p1d2bfmioiot.m.pipedream[.]net/?usr=
hxxps://eoiw8lhjwuc3sh2.m.pipedream[.]net
panelunregistertle-348.frge[.]io
eo9p1d2bfmioiot.m.pipedream[.]net
eoiw8lhjwuc3sh2.m.pipedream[.]net
frge[.]io (2021-04-21)
pipedream[.]net (legítimo)

Consultas de Caça Baseadas em IOC para Detectar Phishing Atraído pelo UKR.NET

Para permitir que os profissionais de segurança convertam automaticamente os IOCs mencionados acima em consultas de caça personalizadas prontas para execução nos quase 20 ambientes SIEM ou XDR mais populares, a Plataforma SOC Prime oferece a ferramenta Uncoder CTI — agora disponível gratuitamente para todos os usuários registrados até 25 de maio de 2022.

Fique à frente das ameaças cibernéticas em constante mutação e não deixe que os atacantes comprometam as contas de suas organizações e as explorem para seus fins maliciosos. Uma abordagem colaborativa de defesa cibernética permite otimizar o conteúdo de detecção de ameaças mais recente e preciso. Inscreva-se para o Detection as Code da SOC Prime plataforma agora mesmo para ter acesso a 23.000 regras de detecção selecionadas que ajudam a melhorar sua defesa cibernética.

Em vista do aumento das ameaças cibernéticas russas, a SOC Prime fornece mais de 2.000 regras Sigma para identificar possíveis ataques cibernéticos de origem russa contra sua infraestrutura. Notavelmente, todas essas detecções estão atualmente disponíveis sem custo sob a promoção Quick Hunt mais recente da SOC Prime. Basta buscar em nossa plataforma Detection as Code com #stopwar, #stoprussian, e #stoprussianagression tags e comece a caça imediatamente com o módulo Quick Hunt. Você pode saber mais sobre a promoção Quick Hunt em nosso artigo dedicado.