Inteligência do adversário

GetSmoked: UAC-0006 retorna com SmokeLoader visando o maior banco estatal da Ucrânia

O UAC-0006, um grupo de ameaças cibernéticas com motivação financeira, ressurgiu com uma sofisticada campanha de phishing direcionada a clientes do maior banco estatal da Ucrânia, o PrivatBank. Essa campanha explora arquivos protegidos por senha contendo arquivos maliciosos de JavaScript, VBScript e LNK para contornar a detecção e implantar o malware SmokeLoader por meio de injeção de processo e execução do PowerShell. Com fortes sobreposições de táticas, técnicas e procedimentos (TTPs) com o notório FIN7 e outros APTs russos, o UAC-0006 visa roubar credenciais e dados financeiros, mantendo o acesso persistente aos sistemas comprometidos. As organizações devem permanecer vigilantes, aprimorar a conscientização sobre segurança e implementar uma inteligência robusta contra ameaças para combater essa crescente ameaça cibernética.

February 5, 2025

min

Tabela de conteúdo

Exemplo H2

Sumário executivo

As campanhas de phishing em andamento do UAC-0006, um agente de ameaças com motivação financeira, têm como alvo os clientes do maior banco da Ucrânia, o PrivatBank. Esta campanha usa arquivos protegidos por senha contendo arquivos maliciosos de JavaScript, VBScript ou LNK para evitar a detecção. As cargas incluem o SmokeLoader, fornecido usando injeção de processo, PowerShell e binários legítimos do sistema, levando à comunicação C2 e à execução da carga útil. As táticas, técnicas e procedimentos (TTPs) do UAC-0006 se sobrepõem às do FIN7, indicando vínculos com a atividade russa de APT.

Análise

Com base nos atributos da amostra, conseguimos encontrar uma campanha ativa sendo realizada pelo agente da ameaça. É uma campanha de phishing com tema de pagamento direcionada a clientes do maior banco estatal da Ucrânia.

Campanha de phishing com tema de pagamento (visando o maior banco estatal da Ucrânia)

Os agentes da ameaça têm como alvo os clientes do PrivatBank desde pelo menos novembro de 2024, com mais de duas dúzias de amostras distintas vistas na natureza desde então.

1. Atraição de phishing (SHA256): 5a0b48ccc1a353c4ace5e9626f17622611432a016577797d4c891ca945ffa7f8 (Banco privado_invoce_payment_20_12_2024.zip) deixa cair 80c450570cd338a594546f9e6c189ffc2a849d3bac3759c53592af30840ffb90 (1971, 19 de dezembro de 2024p.pdf.js - traduz para Instrução de pagamento nº 187-FY datada de 19.12.2024p.pdf.js)

‍

Texto traduzido:

A conta é válida por três dias úteis. Em caso de não pagamento dentro de três dias úteis, o valor será alterado.

Informações para o cliente:

1. A reserva para componentes (materiais) é mantida por 5 dias. A extensão do período de reserva é possível

2. Unidades eletrônicas, painéis de instrumentos e peças de reposição que foram encomendadas individualmente, trocadas e devolvidas

AVISO! As procurações devem ser emitidas de acordo com a Instrução nº 99, de 15 de maio de 1996. No caso da compra de peças de reposição, incluindo objetos de valor. No caso de manutenção ou reparo do carro, não é aceito indicar o modelo do carro e o número de registro escritos no valor.

‍‍

2. Atraição de phishing (SHA256): e0c57518aeef787bcf7cc13484486cfa48458bdf6b0baee02598e777a3ef83f2 (invoce2.pdf) drops ca90047f4c8b5c6628e38f11c1b3411ac8f0040a2d72e35c1a37de1d9a127131 (1971) - se traduz em Cópia digitalizada do Owner.pdf.js) e dada50182ca98f75e0055f9b4a47d8ef3a6dda5c126cac309467c02257f3c1c0 (1971) - se traduz em Cópia digitalizada do Passport.vbs)

‍

‍

Fluxo de ataque

‍

*GetSmoked - Fluxos de execução - outubro de 2024 a início de janeiro de 2025*

‍

*GetSmoked - Fluxos de execução - final de janeiro de 2025*

‍

O agente da ameaça envia um e-mail de phishing com um anexo zip/rar protegido por senha. É mais provável que os arquivos sejam protegidos por senha para evitar as verificações de segurança de e-mail.
Um arquivo javascript malicioso e um VBScript malicioso são extraídos do arquivo. O
O javascript executa a injeção de processo em wscript.exe, que, por sua vez, executa um comando PowerShell codificado.
O comando powershell serve para concluir duas tarefas:
1. Primeiro, ele abre o PDF que deveria ser aberto quando o usuário baixou e executou o anexo.
2. Em segundo lugar, ele entra em contato com os servidores C2 do SmokeLoader para baixar e executar a carga final escolhida pelo agente da ameaça.
Mais recentemente, estamos começando a ver o UAC-0006 usar uma isca LNK em suas iscas de phishing. Quando o arquivo.lnk é executado, ele executa o powershell.exe com os argumentos de linha de comando especificados. Isso inicia o mshta.exe para recuperar e executar o arquivo hospedado nos servidores C2.

‍

Atribuição

Observamos o seguinte sobre os atores da ameaça:

Eles gostam de iscas de phishing com capacidades maliciosas.
Eles simplesmente AMAM PowerShell.
Eles têm como alvo persistente o maior banco da Ucrânia (exemplo: vários e-mails de phishing enviados para o Privatbank, Ucrânia)

Esses atributos se sobrepõem estreitamente ao perfil de UAC-0006, um grupo de agentes de ameaças com motivação financeira. Entre 2023 e 2025, o grupo de atores de ameaças começou a usar LNKs e VBScripts em seus phishing cadeia de ataque, além do que era conhecido publicamente de acordo com o relatório anterior. Isso destaca uma sobreposição do TTP com o EmpireMonkey, um grupo de agentes de ameaças que parece estar diretamente relacionado ao Carbanak, Anunak e/ou FIN7. É importante observar que o FIN7 é um grupo APT russo com laços conhecidos com o grupo de ransomware Black Basta.

‍

‍

Impacto

Comprometimento de dados confidenciais: As vítimas da campanha de phishing correm o risco de divulgar dados pessoais ou corporativos confidenciais, incluindo credenciais, informações financeiras e segredos organizacionais, que podem ser explorados para novos ataques ou vendidos em mercados clandestinos.
Coleta de credenciais e espionagem: Essas campanhas de phishing têm como alvo indivíduos nos principais setores, potencialmente permitindo atividades de espionagem, acesso não autorizado a sistemas essenciais e interrupções operacionais.
Danos e desconfiança à marca: Empresas personificadas como iscas de phishing, como a CMIT Solutions, a Soho Square Solutions e a Templar Protective Associates, enfrentam danos à reputação, corroendo a confiança entre seus clientes e partes interessadas.
Riscos da cadeia de suprimentos: A personificação de prestadores de serviços e consultores aumenta o risco de ataques posteriores à cadeia de suprimentos, potencialmente impactando organizações e setores associados.

‍Mitigação

Monitoramento e bloqueio: monitore e bloqueie proativamente indicadores maliciosos usando feeds de inteligência contra ameaças para impedir o acesso no nível do disco, do DNS ou da rede.
Resposta e relatórios de incidentes: implemente determinadas regras de yara com base em limites internos. Estabeleça procedimentos robustos de resposta a incidentes para identificar e conter tentativas de phishing rapidamente e incentive os funcionários e a comunidade a denunciar atividades suspeitas para facilitar as ações de remoção.
Treinamento de conscientização sobre segurança: instrua os funcionários, especialmente aqueles envolvidos em funções de contratação ou de RH, a reconhecer tentativas de phishing, como e-mails não solicitados relacionados a empregos de domínios suspeitos ou contatos desconhecidos.

‍Referências

‍Apêndice

Mapeamento MITRE

‍

Tactic	Technique ID	Technique Name	Procedure Details
Initial Access	T1566.001	Spear-phishing Attachment	Threat actor delivers malicious archive files via AWS Titan Email containing JS/VBS or LNK files
Initial Access	T1547.001	Shortcut Modification	Uses .LNK files in newer variant of the campaign
Defense Evasion	T1027.002	Software Packing	Use of password-protected archives to evade email security controls
Defense Evasion	T1027	Obfuscated Files or Information	Use of encoded PowerShell commands to hide malicious activity
Execution	T1204.002	User Execution: Malicious File	Requires user to open the malicious attachment
Execution	T1059.007	JavaScript	Executes malicious JavaScript code
Execution	T1059.005	Visual Basic	Executes malicious VBScript code
Execution	T1059.001	PowerShell	Uses PowerShell to execute encoded commands
Execution	T1218.005	Mshta	Uses mshta.exe to retrieve and execute files (in LNK variant)
Privilege Escalation	T1055	Process Injection	JavaScript performs injection into wscript.exe
Command and Control	T1105	Ingress Tool Transfer	Downloads SmokeLoader malware from C2 server
Command and Control	T1571	Non-Standard Port	SmokeLoader communicates with C2 server
Defense Evasion	T1036	Masquerading	Opens legitimate PDF to mask malicious activity

‍

Indicadores de compromisso

‍

IOC(s)	Comments
Phishing Lures - October 2024 to January 2025 0a898f1df135d52ef5006f8dba9e9fce4ab4a85e07a9417f39c7612113eb6210 1043ce610dd6e8b0cda635dbe1f15524c25d816f89ad22f9bc34403ef8e771cc 107190bb8f28ed2bb2f0883ae1fbfe0e50cacc54c17dc526c865f6f46f40107a 119b79b9cdb773dc951c36fe35ea0237e5f035bda6493103399e3697dc929c3d 21bbe1929d20c5525349dabe58748798f9cdaa1abd25f13dc98b4c0b8ffdde23 31ba8ceffe689b570dc696c97291780288f16a15f91d3e55bf13d7dcdf3858a9 3216f4728788cc9a0416290d31a2fdc97bcd3f028582efc52dc1cd8208f0cebd 38eb41eebbc889d046d354de345cf7c073971f62c2aaf53163ecefb7914273cc 3998a0d2e96417ce234a79897df8bcb879295043ce3d7f188c7b3de7375b26e5 3bfb1a880ea62bb4ad24e98a3a641b85e2392942af59727701c57ed094e5554e 4a559be38d60d64cb378643cc4332f40fe94d5f6c4f71a4f593e4efcd918349c 4abf59022d70abac175ddd896e4d709d256ca56a7a9dd8a9805eb5f2af490576 527a4b00fc95ecb9c1308ccc4ebd6bac7c03053e8ed11cdeb08ac3a6af8775c3 5b259a3ce6c0ce88690eb15d71162a930f267d960e26e88d37c92403d747f44a 6d29acbbaf0c75eca458e3936dea7d20fceca415b897573b704d151c7e9261b8 75f20c4171c699a991c45671b46174b0879e1fcf83ee4cdc63af8d6a833698b3 7c3a1bbbcbd2a328d8fb70efbdc55efaeb23b8511955109facef5c6c20350afb 8a6466093bc38a5d075148fde75952372ab5d7bb991b74773d5e019e0e0145f0 993518e45c78f9cc19daefbabef980e2e16a5e2fa11036f1e98c6446efb38676 9aad92a2d4b310a344f102436f12d29c7ac635478918874181a18182e4f530b4 a2b10deef491ec1430f65157a411a47de0e9ad1431518b2fa4fe5f18a4f3e2bd b62d21ec1f54e7f7d343bc836e87a13adf9f40f87fc54a7d3788baea9a2c2b08 b815638024caac8bb7e482465564ec2a091f2af52cbf635be268e9093cbc4e92 bfc7164ed334044c780f0f15b56b559dfabbb0007ba268c180a281ac5bcc1f19 cd8dc77de5811a6a215e74cf61b3c34fcf28d5a05df5e4fc26fc9ad2ee72868b d143873322c13496b2fc580c07fead99c1679afe831202913cee522d88ff7795 d35cd24668474580161008eb655ce979400e382a58f0e6967b10a4d86343b6ec ee5a55588bbdfe6749da1962a9b7d1b29a87a10a324347070edd9e8ec33f7c82 f1d97e23cb0820e851d457dbb930576890e5bc6313cdf30d09f160cbdcdac90f f4222b240f88d43e6c63b9d9c09d93c10ba882b91fc4a61c0cd833f7c79b4c44 f72f2e0f0873885313dbde954f26acd1c02ed963512111b3f00cf7e9cd6e5e6d e8b08cb0774145ac432406f5e579aabaddb485ad29ba7d1eb1c5fb3000c5eefa 7722151293bdc50640c719a55438ffd663a3d2bccc70392cdce8052b651afea0 9833cbd22fd50181f8939114920e883bacf8d727337f5dcdf4450d0312eca188 a3aac43dd6a592c9ec58121a09c8cd22fb1b2d05ca1ff91259e43565d5e33022 e0c57518aeef787bcf7cc13484486cfa48458bdf6b0baee02598e777a3ef83f2 97fe6b08d8a40c1f6990ca5c7405fdc98e014cf1fdfc2646580bffd34c1160ec (Paxy_419_08_01_2025p_privat_bank_invoce.CHM) 5a0b48ccc1a353c4ace5e9626f17622611432a016577797d4c891ca945ffa7f8 (Privatbank_invoce_payment_20_12_2024.zip) 476a8e2d8eae4d2315e719bf67be312c5e88476509bdbac2dffee48986ad54c1 (paxynok_privatbank_06_01_2025p.zip)	SHA256 (PDFs, CHMs, zip, rar)
http://89.23.107[.]219/privat.exe http://3-zak-media[.]de/temp/paxynok_privatbank_06_01_2025p.zip http://3-zak-media[.]de/temp/gate.php http://89.23.107[.]219/invoce.pdf http://89.23.107[.]219/final.mp4 http://spotcarservice[.]ru/fdjskf88cvt/invoce.pdf http://spotcarservice[.]ru/fdjskf88cvt/invoce2.pdf http://spotcarservice[.]ru/fdjskf88cvt/putty1.exe http://spotcarservice[.]ru/fdjskf88cvt/yumba/putty.exe http://3-zak-media[.]de/krayer-buergerschaft/Web/bilder/putty1.exe http://cityutl[.]ru/download/pax.pdf http://cityutl[.]ru/download/putty.exe	Contacted URLs
connecticutproperty[.]ru constractionscity1991[.]lat restructurisationservice[.]ru spotcarservice[.]ru 3-zak-media[.]de cityutl[.]ru	SmokeLoader Command and Control servers
94.156.177[.]51 89.23.107[.]219 109.70.26[.]37	Contacted IPs

‍

YARA Rules

rule Detect_Obfuscated_PowerShell_AES_Decryption {
    meta:
        author = "CloudSEK TRIAD"
        description = "Detects obfuscated PowerShell execution with AES decryption techniques"
        date = "2025-01-28"
        threat_actor = "Unknown"
        ttp = "Obfuscated PowerShell with AES decryption"

    strings:
        $powershell_flags = "-w 1 -ep Unrestricted -nop"
        $split_obfuscation = "return -split"
        $aes_create = "[Security.Cryptography.Aes]::Create()"
        $decryptor = ".CreateDecryptor("
        $transform_final_block = ".TransformFinalBlock("
        $char_array_join = "-join [char[]]"
        $custom_function_start = "function "
        $hex_processing = "-replace '..', '0x$& '"

    condition:
        uint16(0) == 0x5a4d and
        (
            all of ($powershell_flags, $split_obfuscation) or
            all of ($aes_create, $decryptor, $transform_final_block) or
            all of ($custom_function_start, $hex_processing)
        )
}

rule Detect_PowerShell_TTP_JS_PDF_Lure {
    meta:
        description = "Detects malicious PowerShell TTP triggered from .js in phishing PDF lures"
        author = "CloudSEK TRIAD"
        date = "2025-01-28"
        reference = "Threat intelligence analysis"
        tags = ["PowerShell", "phishing", "TTP", "malware", "PDF", "JS"]

    strings:
        $powershell_flags = "-w 1 -ep Unrestricted -nop"
        $function_def_bdhOG = "function bdhOG"
        $function_def_ujddZ = "function ujddZ"
        $aes_create = "([Security.Cryptography.Aes]::Create()).CreateDecryptor"
        $wscript_call = /"WScript\.exe" called "CreateProcessW" with parameter/i
        $embedded_js = /.*<\/script>/is

    condition:
        1 of ($powershell_flags, $function_def_bdhOG, $function_def_ujddZ, $aes_create) and
        $wscript_call and
        $embedded_js
}

Koushik Pal

Threat Researcher at CloudSEK, specializing in digital forensics, incident response, and adversary hunting to uncover attacker motives, methods, and operations.

Nenhum item encontrado.