Atores de Ameaça UAC-0056 Distribuem Malware Cobalt Strike Beacon em Mais Uma Campanha de Phishing Contra a Ucrânia
Índice:
Logo após o ciberataque em 5 de julho visando órgãos estatais ucranianos e atribuído ao notório coletivo de hackers UAC-0056, mais uma campanha maliciosa lançada por este grupo causa alvoroço no domínio cibernético. Em 11 de julho de 2022, pesquisadores de cibersegurança da CERT-UA alertaram a comunidade global sobre um ataque de phishing em andamento utilizando um assunto atrativo e um anexo malicioso relacionado ao tema da guerra na Ucrânia. No último ciberataque, os agentes de ameaça mais uma vez usam o vetor de ataque de email de phishing para distribuir malware Cobalt Strike Beacon. Desta vez, emails maliciosos são espalhados a partir de contas de email comprometidas de entidades do governo ucraniano.
Detecção de Ataques do Grupo UAC-0056: Regras Sigma para Identificar a Atividade Maliciosa a Tempo
Para ajudar os profissionais de cibersegurança a identificar a tempo a atividade maliciosa do grupo de hackers UAC-0056 relacionada às últimas campanhas de email que visam a Ucrânia, a plataforma da SOC Prime oferece um conjunto de algoritmos de detecção curados disponíveis via um link abaixo:
Regras Sigma para detectar a atividade maliciosa dos atores de ameaça UAC-0056
Observe que apenas usuários registrados da SOC Prime podem acessar as regras Sigma referenciadas acima, juntamente com suas traduções para múltiplos formatos SIEM, EDR e XDR.
Para facilitar e agilizar a procura por conteúdo de detecção relevante, todas as regras baseadas em Sigma são devidamente marcadas como #UAC-0056 com base na atividade adversária associada. Além disso, o conteúdo de detecção está alinhado com a estrutura MITRE ATT&CK® abordando as táticas e técnicas adversárias correspondentes para garantir visibilidade abrangente sobre o contexto de ciberataques relacionados. Consulte o nosso artigo anterior do blog sobre a campanha de email pelo UAC-0056 visando oficiais ucranianos para se aprofundar no contexto da ameaça com base no ATT&CK.
Praticantes de cibersegurança registrados na plataforma da SOC Prime também podem explorar a lista abrangente de regras Sigma para detectar malware Cobalt Strike Beacon clicando no botão Detect & Hunt abaixo. Além disso, a SOC Prime oferece a primeira ferramenta de motor de busca do setor, permitindo que equipes de segurança procurem por um determinado CVE, malware, APT ou exploit e obtenham instantaneamente a lista de regras Sigma relacionadas, juntamente com um contexto de ameaça esclarecedor, como referências do MITRE ATT&CK, links CTI, binários executáveis do Windows vinculados às detecções e mais metadados acionáveis. Clique no botão Explore Threat Context para encontrar todos os resultados de busca relevantes para Cobalt Strike Beacon mesmo sem o processo de registro.
Detect & Hunt Explore Threat Context
Entrega de Malware Cobalt Strike Beacon: Visão Geral de Outro Ataque do UAC-0056 Contra Oficiais Ucranianos
O alerta mais recente CERT-UA#4941 alerta sobre a distribuição em massa de emails maliciosos com um assunto relacionado à crise humanitária na Ucrânia, induzida pela guerra em larga escala em andamento que eclodiu em 24 de fevereiro. Os emails em questão têm um documento XLS como anexo, com um nome de arquivo atraente semelhante que engana as potenciais vítimas a abri-lo. Ele contém uma macro maliciosa que, se aberta, lança um arquivo executável “baseupd.exe”, que, por sua vez, pode levar à instalação do Cobalt Strike Beacon nos sistemas alvos.
Notavelmente, o último ciberataque compartilha várias semelhanças com a campanha maliciosa anterior direcionada a órgãos estatais ucranianos, incluindo a amostra de malware escolhida para espalhar a infecção e os cibercriminosos por trás desta campanha de email. Com base nos TTPs adversários, o ciberataque também é atribuído ao grupo de hackers UAC-0056, também conhecido como SaintBear.
A atividade maliciosa dos atores de ameaça UAC-0056 visando a Ucrânia tem um histórico que remonta à campanha de phishing em março de 2022, espalhando amostras de malware Cobalt Strike Beacon, GrimPlant e GraphSteel. Além disso, esses agentes de ameaça também estão ligados ao ciberataque destrutivo contra a Ucrânia utilizando o malware de eliminação de dados WhisperGate .
É fortemente recomendado aplicar a autenticação multifatorial como uma camada adicional de segurança de email, permitindo que as organizações garantam melhor proteção contra ciberataques que utilizam o vetor de ataque de email.
Inscreva-se na plataforma Detection as Code da SOC Prime para encontrar uma solução tudo-em-um para ajudar sua equipe a lidar sem dificuldades com a complexidade das ameaças e os desafios de qualidade de dados, respaldada pelo poder da defesa cibernética colaborativa. Procurando novas maneiras de aprimorar suas habilidades de Threat Hunting e Engenharia de Detecção? Participe do Programa Threat Bounty para transformar seu conjunto de habilidades em benefícios financeiros recorrentes, com oportunidades prolíficas de reconhecimento entre colegas da indústria e de auto-avançamento. Desenvolva regras Sigma e YARA, compartilhe-as com a comunidade e monetize seus esforços de detecção com a iniciativa crowdsourced da SOC Prime.
