Ataques UAC-0173: Corpos Judiciais e Notários Ucranianos Massivamente Alvejado com Malware AsyncRAT

Especialistas em segurança cibernética observam volumes significativamente crescentes de atividade maliciosa visando os setores público e privado da Ucrânia, com forças ofensivas frequentemente recorrendo ao vetor de ataque de phishing para proceder com a intrusão. 

CERT-UA notifica defensores cibernéticos sobre a campanha maliciosa em andamento contra órgãos judiciais e notários na Ucrânia, distribuindo maciçamente e-mails com assuntos atrativos e anexos maliciosos disfarçados de documentação oficial. Desta forma, adversários rastreados como UAC-0173 tentam comprometer usuários alvo infectando sistemas com malware AsyncRAT. 

Descrição do Ataque UAC-0173: Utilizando AsyncRAT para Alvejar Órgãos Judiciais e Notários

Em 28 de agosto de 2023, a equipe CERT-UA emitiu um alerta cobrindo ataques UAC-0173 que têm como alvo órgãos judiciais e notários ucranianos desde o primeiro trimestre de 2023. A campanha maliciosa em destaque envolve a distribuição direcionada de e-mails, entregando arquivos BZIP, GZIP e RAR com arquivos BAT dentro. Os arquivos BAT são criados com a ajuda do ScrubCrypt crypter e, ao serem executados, instalam malware AsyncRAT nos sistemas afetados. A campanha utilizou iscas específicas em assuntos e nomes de arquivos referindo-se a cartas oficiais de departamentos de notários locais e notificações do Ministério da Justiça. 

A cadeia de ataque envolve a execução de arquivos BAT/CMD contendo código PowerShell. Este código PowerShell é projetado para decodificar, descriptografar, descomprimir e lançar um arquivo .NET, que por sua vez inicia a execução do AsyncRAT.

A atividade maliciosa é rastreada sob o identificador UAC-0173. No entanto, com baixo nível de confiança, especialistas do CERT-UA atribuem o ataque ao grupo UAC-0007 (também conhecido como BlackNotary).

Detecção de Atividade Maliciosa UAC-0173 Coberta no Alerta CERT-UA#7372

O número cada vez maior de ciberataques contra os setores público e privado da Ucrânia exige ultra-responsividade dos defensores cibernéticos para identificar e mitigar proativamente potenciais ameaças. A Plataforma SOC Prime capacita equipes de segurança com ferramentas avançadas e econômicas de detecção de ameaças para aprimorar as capacidades de defesa cibernética e maximizar o valor dos investimentos em SOC.

Para detectar proativamente os ataques UAC-0173 em andamento, a Plataforma SOC Prime oferece um conjunto de regras Sigma curadas, enriquecidas com extensa inteligência sobre ameaças cibernéticas e mapeadas para o framework MITRE ATT&CK®. Todos os algoritmos de detecção podem ser traduzidos perfeitamente em múltiplos formatos SIEM, EDR, XDR e Data Lake, com suporte de conversão automatizada fornecido.

Todas as regras de detecção são categorizadas com tags relevantes vinculadas aos identificadores de grupo e alerta (“CERT-UA#7372”, “UAC-0173”). Este sistema de marcação permite que os usuários selecionem e aperfeiçoem pesquisas de conteúdo de acordo com seus requisitos. Para acessar a coleção completa de regras Sigma relevantes, enriquecidas com contexto de ameaças cibernéticas, clique no botão Explore Detections abaixo.

botão Explore Detections

Além disso, defensores cibernéticos podem obter um lote de regras de detecção que ajudam a identificar possíveis ataques de malware AsyncRAT. Siga este link para explorar a lista de regras acompanhadas por inteligência detalhada sobre ameaças. 

Os profissionais de segurança também são bem-vindos a aproveitar Uncoder AI, o framework de inteligência aumentada da SOC Prime, para acelerar a pesquisa de ameaças com geração instantânea de consultas IOC baseada em indicadores de comprometimento sugeridos nos últimos alertas CERT-UA.

Contexto do MITRE ATT&CK

Os membros da equipe SOC também podem explorar os detalhes do ataque cobertos no alerta CERT-UA#7372. Mergulhe na tabela abaixo para encontrar a lista de todas as táticas, técnicas e sub-técnicas do adversário aplicáveis ligadas às regras Sigma mencionadas acima para uma análise aprofundada: