Detecção de Ataques de Phishing do UAC-0050: O Grupo Apoiado pela Rússia Espalha Massivamente E-mails de Phishing Relacionados a Impostos e Explora o LITEMANAGER
Índice:
O grupo de hackers nefasto UAC-0050, conhecido por seus ataques persistentes de phishing contra a Ucrânia, foi observado distribuindo maciçamente e-mails falsos relacionados a impostos com anexos em PDF imitando solicitações do Serviço de Impostos do Estado da Ucrânia e explorando uma ferramenta LITEMANAGER para obter acesso remoto não autorizado aos sistemas-alvo.
Detectar Ataques de Phishing do UAC-0050 Cobertos no Alerta CERT-UA#11776
Os volumes crescentes de ameaças financeiramente motivadas que usam phishing como vetor de ataque e estão ligados ao grupo de hackers russo UAC-0050 motivam as equipes de segurança a melhorar a conscientização sobre cibersegurança e reforçar as defesas de sua organização. Para ajudar a frustrar ataques do UAC-0050 utilizando LITEMANAGER para acesso remoto não autorizado e cobertos na pesquisa mais recente CERT-UA#11776, a SOC Prime Platform para defesa cibernética coletiva organizou uma lista dedicada de algoritmos de detecção relevantes.
Pressione o botão Explore Detecções para acessar a coleção completa de regras Sigma relevantes alinhadas com MITRE ATT&CK®, enriquecida com CTI personalizada e metadados operacionais, e pronta para implantação no formato de linguagem escolhido, compatível com mais de 30 soluções de SIEM, EDR e Data Lake.
Com o crescente número de campanhas de ciberespionagem e ameaças financeiramente motivadas atribuídas ao UAC-0050, engenheiros de segurança podem buscar mais conteúdo de detecção para proteger a infraestrutura de sua organização contra os ataques do grupo. Ao buscar diretamente no Threat Detection Marketplace por detecções relevantes usando o custom tagUAC-0050, as equipes de segurança podem aprimorar suas defesas proativas contra a atividade persistente do grupo.
As equipes de segurança também podem aproveitar o Uncoder AI para acelerar a correspondência de IOC e caçar IOCs relacionados às ameaças do UAC-0050 a partir da pesquisa relevante do CERT-UA. O Uncoder AI permite converter automaticamente IOCs de qualquer formato não binário em consultas de caça personalizadas que correspondem ao formato SIEM ou EDR escolhido.
Descrição do Ataque UAC-0050 Usando LITEMANAGER
Pesquisadores da CERT-UA têm monitorado minuciosamente a atividade prolongada do grupo UAC-0050 vinculado à Rússia e recentemente publicaram uma pesquisa aprofundada destacando três áreas-chave de sua atividade ofensiva, incluindo espionagem cibernética, roubo financeiro e operações de desinformação conhecidas sob a marca “Fire Cells Group”.
UAC-0050 é um grupo de hackers vinculado à Rússia ativo desde 2020, principalmente visando o setor público na Ucrânia e também ampliando seu alcance para os aliados do país. Os adversários usam campanhas de phishing para distribuir malwares como Remcos RAT, muitas vezes se passando por agências governamentais ucranianas em e-mails falsificados com anexos maliciosos. Notavelmente, UAC-0050 tem usado amplamente ferramentas de gerenciamento remoto, como o software Remote Utilities, em suas campanhas contra a Ucrânia.
O alerta mais recente CERT-UA CERT-UA#11776 descobriu uma distribuição em larga escala de e-mails de phishing relacionados a impostos com anexos em PDF disfarçados de solicitações do Serviço de Impostos do Estado da Ucrânia. A campanha em andamento é financeiramente motivada, visando principalmente contadores de empresas que utilizam sistemas bancários remotos. Em alguns casos, como mostraram análises forenses de computadores, o tempo entre a infecção inicial e o roubo de fundos pode ser inferior a uma hora.
Os anexos armados enviados via vetor de ataque de phishing contêm links para serviços de compartilhamento de arquivos (qaz.im, qaz.is, qaz.su), que, se seguidos, irão baixar um arquivo malicioso. Este último, com vários níveis aninhados, contém um arquivo protegido por senha chamado “Electronic Request for Tax Service Documents.pdf.rar,” que por sua vez vem com um arquivo SFX chamado “Electronic Request for Tax Service Documents.pdf.exe.”
Abrir este último exibirá um documento de disfarce e lançará um pacote MSI do software de gerenciamento remoto LITEMANAGER no computador, criando as condições técnicas para acesso remoto furtivo ao sistema.
As medidas de mitigação potenciais contra ataques financeiramente motivados do UAC-0050 podem envolver a configuração de medidas de segurança do sistema operacional integradas e o uso completo das capacidades de autenticação em sistemas de informação bancária para autenticar operações de contadores por meio de códigos de uso único.
O conjunto completo de produtos da SOC Prime para engenharia de detecção apoiada por IA, caça automatizada de ameaças e detecção avançada de ameaças equipa as equipes de segurança com uma solução abrangente para defesa proativa a fim de minimizar os riscos de ameaças financeiramente motivadas e violações de dados. for AI-powered detection engineering, automated threat hunting, and advanced threat detection equips security teams with a comprehensive solution for proactive defense to minimize the risks of financially motivated threats and data breaches.
Contexto MITRE ATT&CK
Aproveitar MITRE ATT&CK proporciona uma visão detalhada do contexto dos últimos ataques do UAC-0050 explorando o LITEMANAGER. Consulte a tabela abaixo para visualizar o conjunto abrangente de regras Sigma dedicadas abordando as correspondentes táticas, técnicas e sub-técnicas ATT&CK. Tactics Techniques Sigma Rule Initial Access Phishing: Spearphishing Attachment Execution User Execution: Malicious File (T1204.002) Defense Evasion Obfuscated Files or Information (T1027) Masquerading: Double File Extension (T1036.007) Command and Control Ingress Tool Transfer (T1105) Remote Access Software (T1219)
