Detecção de Ataque do Trident Ursa, também conhecido como Gamaredon APT: Hackers apoiados pela Rússia aumentam a atividade ofensiva ao mirar em uma refinaria de petróleo em um país da OTAN

Desde a invasão em larga escala da Ucrânia pela Rússia em fevereiro de 2022, o infame grupo de hackers Trident Ursa afiliado à Rússia, também rastreado como Armageddon APT aka Gamaredon ou UAC-0010, tem lançado suas operações ofensivas visando a Ucrânia e seus aliados. Por mais de dez meses, o coletivo de hackers realizou uma série de ataques cibernéticos de phishing cobertos nos correspondentes alertas do CERT-UA e está continuamente intensificando sua atividade maliciosa.

Pesquisadores de cibersegurança mantêm um olhar atento sobre as operações ofensivas do grupo UAC-0010, que permanece um dos APTs mais intrusivos e focados a visar a Ucrânia e seus aliados na linha de frente cibernética. Com a Trident Ursa tentando atingir uma grande empresa de refinação de petróleo em um país da OTAN, os defensores cibernéticos precisam estar armados com capacidades defensivas proativas para identificar prontamente a intrusão.

Detecte a Atividade do Adversário Trident Ursa (UAC-0010)

A atividade maliciosa do grupo de ciberespionagem apoiado pela Rússia, principalmente conhecido como Armageddon APT, Gamaredon ou Trident Ursa, está atualmente em ascensão no panorama de ameaças cibernéticas. A plataforma Detection as Code da SOC Prime é projetada para ajudar defensores de todo o mundo a frustrar proativamente ataques e ajudar toda a comunidade a ganhar vantagem competitiva na guerra cibernética em andamento. A SOC Prime luta na linha de frente cibernética da guerra ajudando a Ucrânia e seus aliados a proteger o país contra a agressão russa enquanto aprimora as capacidades defensivas com as tecnologias Sigma e MITRE ATT&CK.® tecnologias.

Para ajudar as organizações a identificar prontamente a atividade ofensiva da Trident Ursa, a Plataforma SOC Prime lançou um conjunto de regras Sigma dedicadas, desenvolvidas por nossos colaboradores de conteúdo Threat Bounty, Wirapong Petshagun and Kaan Yeniyol. Siga o link abaixo para acessar imediatamente esses algoritmos mapeados para a versão mais recente do MITRE ATT&CK framework v12 e mergulhar em seu contexto de ameaças cibernéticas:

Regras Sigma para detectar a atividade maliciosa mais recente da Trident Ursa

A regra Sigma de Wirapong Petshagun aborda a tática de Comando e Controle com Protocolo de Camada de Aplicação (T1071) usado como sua técnica principal, enquanto o algoritmo de detecção elaborado por Kaan Yeniyol aborda a tática de Execução e a técnica correspondente de Tarefa/Trabalho Agendado (T1053).

A Plataforma SOC Prime também seleciona outra regra Sigma para detectar as campanhas maliciosas mais recentes do Gamaredon APT, também conhecido como UAC-0010. Esta detecção escrita pelo nosso prolífico desenvolvedor Threat Bounty, Kyaw Pyiyt Htet (Mik0yan) aborda as táticas de Persistência e Evasão de Defesa representadas pelas técnicas correspondentes de Execução de Autostart de Boot ou Logon (T1547) e Modificar Registro (T1112) da ATT&CK.

Todas as regras Sigma acima podem ser aproveitadas em mais de 15 soluções SIEM, EDR, XDR e plataformas de análise de dados.

Esforçando-se para dominar suas habilidades Sigma e ATT&CK enquanto contribui para um futuro mais seguro? Junte-se ao Programa Threat Bounty, que permite que autores de conteúdo aspirantes codifiquem um CV futuro, aprimorem habilidades profissionais através de expertise compartilhada e monetizem seu conteúdo de detecção.

Para acessar a lista abrangente de regras Sigma para a detecção da atividade do adversário UAC-0010, clique no botão Explore Detections abaixo. Engenheiros de segurança podem verificar algoritmos de detecção relevantes filtrados pela tag personalizada “UAC-0010” e explorar metadados, como contexto ATT&CK, links CTI, binários e mais.

Explore Detections

Desde o início da guerra em larga escala na Ucrânia, o país tem estado sob constantes ataques cibernéticos do grupo de hackers afiliado à Rússia, conhecido pelos defensores cibernéticos sob uma variedade de apelidos, incluindo Armageddon APT, Gamaredon, Trident Ursa, Shuckworm, UAC-0010 e Primitive Bear. De acordo com o Serviço de Segurança da Ucrânia, o coletivo de hackers está ligado ao Serviço Federal de Segurança da Rússia e visa lançar atividades de inteligência e subversivas contra a Ucrânia e aliados da OTAN no domínio cibernético.

O grupo APT tem explorado ativamente o vetor de ataque de phishing. Pesquisadores de cibersegurança do CERT-UA esforçam-se constantemente para chamar a atenção dos defensores cibernéticos para a atividade maliciosa cada vez maior deste grupo que eles identificam como UAC-0010. Atores de ameaça lançaram uma onda de ataques de phishing principalmente visando órgãos estatais ucranianos em abril e maio, nos quais tiraram proveito do malware GammaLoad.PS1 e de sua versão atualizada, GammaLoad.PS1_v2. Em agosto de 2022, eles utilizaram cargas úteis GammaLoad e GammaSteel para infectar os sistemas comprometidos em outra campanha de phishing. Em um ataque mais recente em novembro , o coletivo de hackers foi observado espalhando em massa e-mails falsificados com o remetente disfarçado como o Serviço Especial de Comunicações do Estado da Ucrânia, explorando um anexo malicioso com um arquivo HTML que desencadeou uma cadeia de infecção., the hacking collective was observed massively spreading spoofed emails with the sender disguised as the State Special Communications Service of Ukraine exploiting a malicious attachment with an HTML file that triggered an infection chain.

O último relatório da Palo Alto Networks Unit 42 ganha insights sobre ameaças crescentes atribuídas à atividade adversária da Trident Ursa. Com base em sua pesquisa, a equipe da Unit 42 tem expandido seu escopo de ataques além da Ucrânia. No final de setembro de 2022, atores de ameaça fizeram uma tentativa malsucedida de comprometer uma grande empresa de refino de petróleo em um país que pertence aos membros da OTAN, escalando assim um conflito na linha de frente cibernética.

O notório grupo de hackers afiliado à Rússia está impondo desafios assustadores às forças defensivas, continuamente aprimorando seus TTPs adversários e melhorando as técnicas de evasão de detecção. Por exemplo, atores de ameaça aplicam a técnica de DNS flux rápido para amplificar a resiliência de suas operações maliciosas e dificultar procedimentos de análise de antimalware. Outras técnicas adversárias usadas pela Trident Ursa incluem contornar DNS via serviços web legítimos e Telegram Messenger, além de esconder atribuições de IP reais usando subdomínios para suas operações maliciosas em vez de domínios raiz.

A Trident Ursa comumente aplica um conjunto de múltiplos métodos adversários para comprometer inicialmente os sistemas alvo via código VBScript e frequentemente entrega conteúdo malicioso através de anexos de arquivos HTML usados como iscas de phishing.

Como medidas potenciais de mitigação, a Unit 42 recomenda implementar uma solução de segurança DNS confiável e monitorar minuciosamente todo o tráfego de rede comunicando-se com AS 197695.

A Trident Ursa, também conhecida como Gamaredon APT, é um coletivo de hackers adaptativo, continuamente expandindo seu kit de ferramentas adversárias, aproveitando novas técnicas de ofuscação e tirando vantagem de novos domínios, o que permanece uma ameaça para a Ucrânia e seus aliados. Para resistir proativamente às capacidades ofensivas, explore nosso Motor de Busca de Regras Sigma e equipe-se com as detecções mais relevantes contra ameaças atuais e emergentes, juntamente com inteligência de ameaças cibernéticas em profundidade.