Además de la creciente frecuencia de los ciberataques del infame grupo UAC-0050 dirigido a Ucrania, otros colectivos de hackers están intentando activamente infiltrarse en los sistemas y redes de las organizaciones ucranianas. A finales de febrero de 2024, los defensores identificaron más de 2000 computadoras infectadas con el malware DIRTYMOE (PURPLEFOX) como resultado de un ciberataque masivo contra Ucrania. Según la investigación, el grupo de hackers UAC-0027 está detrás de la última campaña maliciosa. Análisis de ataque UAC-0027 El 31 de enero de 2023, CERT-UA emitió un aviso que detalla el último ciberataque contra Ucrania que involucra la distribución masiva de malware DIRTYMOE (PURPLEFOX). Como resultado de una investigación en profundidad sobre las características operativas de la infraestructura del servidor C2, más de 2.000 instancias de usuarios dentro del segmento de Internet ucraniano se ven afectadas durante la operación ofensiva atribuida a la actividad del adversario UAC-0027. Para reducir la posible superficie de ataque, los defensores recomiendan segregar las computadoras con sistemas operativos obsoletos a través de VLAN y/o segmentación física en segmentos de red separados con filtrado obligatorio de los flujos de información entrantes y salientes. DIRTYMOE, también conocido como PURPLEFOX (o Purple Fox), es un malware modular que ha estado en el centro de atención en el campo de las amenazas cibernéticas durante más de media década. Se utiliza para establecer acceso remoto al sistema objetivo y se aplica principalmente para lanzar ataques DDoS y minería de criptomonedas. Normalmente, la infección inicial se produce al iniciar un software popular que contiene un instalador MSI. La puerta trasera DIRTYMOE está equipada con un rootkit que impide la eliminación de componentes del sistema de archivos y del registro del sistema operativo en modo normal. DIRTYMOE es un malware que se propaga automáticamente y puede propagarse mediante la fuerza bruta de las credenciales de autenticación o la explotación de vulnerabilidades. Para garantizar la resiliencia de la comunicación con la infraestructura C2, se utilizan al menos tres métodos, uno de los cuales implica obtener valores de registro A para nombres de dominio definidos estáticamente utilizando servidores DNS locales y externos. Además, las direcciones IP almacenadas en el registro del sistema operativo, así como las obtenidas a partir de consultas DNS, están ofuscadas. Durante la investigación en curso, los defensores identificaron 486 direcciones IP de servidores de control intermedio, la mayoría de las cuales pertenecen a equipos comprometidos ubicados en China, y se agregan hasta 20 nuevas direcciones IP diariamente. CERT-UA recomienda tomar las siguientes medidas para detectar posibles signos de infección: Investigación de conexiones de red Examine las conexiones de red según la lista de direcciones IP proporcionada en la investigación de CERT-UA. Normalmente, las conexiones salientes se realizan en puertos de red «altos» (más de 10 000). Verificación del registro usando regedit.exe Utilice la utilidad estándar regedit.exe para verificar los valores en el registro del sistema operativo bajo las siguientes claves: Para Windows XP: HKEY_LOCAL_MACHINEControlSet001ServicesAC0[0-9]
Para Windows 7: HKEY_LOCAL_MACHINESoftwareMicrosoftDirectPlay8Direct3D Análisis del visor de eventos Aproveche la utilidad estándar del visor de eventos en el registro de «Aplicación» (fuente: «MsiInstaller») para investigar las entradas con los ID de evento 1040 y 1042. Análisis del directorio «C:Archivos de programa» Marque «C: Directorio «Archivos de programa» para detectar la presencia de carpetas con nombres generados arbitrariamente, por ejemplo, «C:Archivos de programadvhvA». Comprobación de ejecución persistente Compruebe la persistencia del programa malicioso examinando la generación del servicio. Además, los archivos de la puerta trasera y los módulos se almacenan en los directorios estándar que se proporcionan a continuación. Sin embargo, el uso de un rootkit impide la detección y/o eliminación del malware directamente desde la computadora comprometida. HKEY_LOCAL_MACHINESystemControlSet001servicesMsXXXXXXXXApp C:WindowsSystem32MsXXXXXXXXApp.dll C:WindowsAppPatchDBXXXXXXXXMK.sdb C:WindowsAppPatchRCXXXXXXXXMS.sdb C:WindowsAppPatchTKXXXXXXXXMS.sdb Para remediar la amenaza, CERT-UA sugiere aplicar al menos uno de los siguientes métodos: Descargue el producto de software “Avast Free Antivirus” del Visite el sitio web oficial del fabricante, instálelo en la computadora e inicie el escaneo en modo “INTELIGENTE”. Este proceso requerirá un reinicio posterior de la computadora y luego continuar con el proceso de escaneo, durante el cual se detectarán y eliminarán los módulos. Descargue la computadora afectada desde LiveUSB (o conecte el disco duro de la computadora afectada a otra computadora) y elimine manualmente el archivo “MsXXXXXXXXApp.dll” y los módulos “.sdb”. Luego, inicie la computadora en modo normal y elimine el servicio del registro. Cabe destacar que, en cualquier caso, para evitar la infección posterior a través de las capacidades de autopropagación de la puerta trasera, es necesario habilitar el firewall integrado del sistema operativo (“Firewall”) antes de realizar cualquiera de las acciones enumeradas anteriormente. Además, cree una regla para bloquear los flujos de información entrante en los puertos de red específicos, incluidos 135, 137, 139 y 445. Detectar ataques UAC-0027 aprovechando el malware DIRTYMOE (PURPLEFOX) La aparición del grupo UAC-0027 en la ciberamenaza ucraniana El panorama requiere una gran capacidad de respuesta por parte de los defensores debido a los intentos exitosos del grupo de comprometer más de 2000 dispositivos durante la operación ofensiva en curso. SOC Prime Platform equipa a los equipos de seguridad con una gran cantidad de algoritmos de detección independientes del proveedor para fomentar la ciberdefensa proactiva contra la actividad del adversario UAC-0027 aprovechando muestras de malware DIRTYMOE (PURPLEFOX). Inicie sesión en la plataforma y siga el enlace a continuación para acceder a la colección completa de reglas de Sigma filtradas por la etiqueta relacionada con el grupo «UAC-0027» para detectar los ataques más recientes cubiertos en la alerta CERT-UA. Reglas de Sigma para detectar ataques UAC-0027 utilizando malware DIRTYMOE (PURPLEFOX) La pila de detección está asignada a MITRE ATT&CK® y se puede utilizar en docenas de plataformas de análisis de seguridad para ayudar a los defensores en sus procedimientos diarios de ingeniería de detección. Los ingenieros de seguridad también pueden confiar en Uncoder IO para empaquetar automáticamente información sobre amenazas del informe CERT-UA dedicado en consultas IOC personalizadas diseñadas para múltiples entornos SIEM y EDR para una investigación de amenazas simplificada. Para defenderse proactivamente contra cualquier tipo de ataque que dependa del uso de muestras maliciosas DIRTYMOE (PURPLEFOX), los profesionales de la ciberseguridad también pueden aprovechar más algoritmos de detección de la biblioteca de contenido SOC más grande del mundo. Haga clic en el botón Explorar detecciones a continuación para obtener las reglas de Sigma para la detección de DIRTYMOE (PURPLEFOX), con todo el contenido enriquecido con CTI y metadatos relevantes. Explorar detecciones Los ingenieros de seguridad contextual de MITRE ATT&CK también pueden consultar los detalles del ataque UAC-0027 proporcionados en la alerta CERT-UA más reciente. Explore la siguiente tabla para acceder a una lista completa de TTP de adversarios vinculados a las reglas Sigma relevantes, lo que facilita un análisis exhaustivo: URL de la publicación original: https://socprime.com/blog/uac-0027-attack-detection-hackers-target- organizaciones-ucranianas-que-utilizan-dirtymoe-purplefox-malware/Categoría y etiquetas: Blog,Últimas amenazas,CERT-UA,CERTUA,Ciberataque,Contenido de detección,Malware,Sigma,Plataforma SOC Prime,Mercado de detección de amenazas,Contenido de búsqueda de amenazas – Blog, Últimas amenazas, CERT-UA, CERTUA, ciberataque, contenido de detección, malware, Sigma, plataforma SOC Prime, mercado de detección de amenazas, contenido de búsqueda de amenazas

Source link