Detecção de Ataque UAC-0057: Um Aumento na Atividade de Adversários Distribuindo PICASSOLOADER e Cobalt Strike Beacon

Os defensores observaram um aumento súbito na atividade adversária do grupo de hackers UAC-0057 alvejando agências governamentais locais ucranianas. Os atacantes distribuem arquivos maliciosos contendo macros destinadas a lançar PICASSOLOADER nos computadores alvo, o que leva à entrega do Cobalt Strike Beacon. 

Detectar Atividade UAC-0057 Coberta no Alerta CERT-UA#10340

Desde o início da guerra em grande escala, o coletivo de hackers UAC-0057 tem repetidamente visado organizações ucranianas. Para detectar a última campanha do UAC-0057 e analisar retrospectivamente a atividade do grupo, os defensores cibernéticos podem recorrer à Plataforma da SOC Prime para defesa cibernética coletiva, que oferece um conjunto completo de produtos para Engenharia de Detecção com IA, Caça a Ameaças Automatizada e Validação de Pilha de Detecção. 

Seguindo o link abaixo, os profissionais de segurança podem acessar a pilha completa de detecção que aborda a última atividade do UAC-0057. Alternativamente, os especialistas podem navegar no Threat Detection Marketplace filtrando detecções pelo tag “CERT-UA#10340” com base no ID do alerta. 

Regras Sigma para detecção de ataques UAC-0057 baseadas no alerta CERT-UA#10340

Todos os algoritmos de detecção são mapeados para o framework MITRE ATT&CK®, enriquecido com CTI e metadados acionáveis, e estão prontos para implantação em dezenas de plataformas analíticas de segurança nativas da nuvem e locais. 

Para obter a pilha mais ampla de detecção que abrange táticas, técnicas e procedimentos UAC-0057, os engenheiros de segurança podem acessar a coleção relevante de regras Sigma clicando no Explorar Detecções botão abaixo.

Explorar Detecções

The alerta CERT-UA dedicado também fornece uma coleção de IOCs para identificar ataques relacionados com a campanha mais recente do UAC-0057. Confiando no SOC Prime’s Uncoder AI, os defensores podem simplificar o emparelhamento de IOC convertendo instantaneamente a inteligência de ameaça relevante em consultas personalizadas otimizadas para desempenho, adaptadas ao formato de linguagem do SIEM ou EDR escolhido e prontas para caça no ambiente selecionado.

Análise de Ataques UAC-0057

O grupo UAC-0057, também conhecido sob o codinome GhostWriter, tem lançado múltiplas operações ofensivas principalmente alvejando órgãos estatais ucranianos ao longo de 2023. Por exemplo, em setembro de 2023, UAC-0057 lançou uma campanha maliciosa contra o governo ucraniano e instituições educacionais, abusando de uma vulnerabilidade zero-day no WinRAR (CVE-2023-38831) para entregar o PICASSOLOADER. No verão de 2023, o grupo utilizou o mesmo carregador para infectar redes alvo com njRAT.

Em julho de 2024, a CERT-UA observou um aumento repentino na atividade do grupo. Os adversários armam arquivos contendo macros maliciosas para espalhar PICASSOLOADER and Cobalt Strike Beacon nos sistemas impactados. 

De acordo com o último alerta CERT-UA sobre a atividade do UAC-0057, o conteúdo dos arquivos desvendados com macros (“oborona.rar”, “66_oborona_PURGED.xls”, “trix.xls”, “equipment_survey_regions_.xls”, “accounts.xls”, “spreadsheet.xls”, “attachment.xls”, “Podatok_2024.xls”) está ligado à reforma do governo local, tributação e indicadores econômicos-financeiros.

Com base na pesquisa CERT-UA, UAC-0057 pode ter visado tanto especialistas de escritório de projeto quanto seus homólogos entre os funcionários das autoridades governamentais locais relevantes na Ucrânia.

Contexto MITRE ATT&CK

Alavancar o MITRE ATT&CK fornece ampla visibilidade sobre os padrões de comportamento relacionados à mais recente atividade maliciosa do UAC-0057 visando agências governamentais locais ucranianas. Explore a tabela abaixo para ver a lista completa de regras Sigma dedicadas abordando as táticas, técnicas e sub-técnicas ATT&CK correspondente.