Phishing-kampagne er rettet mod ukrainske militære enheder
Ukrainske militærorganisationer er blevet omdrejningspunktet for en phishing-kampagne, der udnytter dronemanualer til at levere et Go-baseret open source post-udnyttelsesværktøj ved navn Merlin.
Securonix-forskere Den Iuzvyk, Tim Peck og Oleg Kolesnikov rapporterede i et dokument, der blev delt med The Hacker News, at fordi droner, også kendt som Unmanned Aerial Vehicles (UAV'er), er blevet et væsentligt værktøj i det ukrainske militærs arsenal, er cyberkriminelle begyndt at cirkulere ondsindet lokkefiler forklædt som UAV-servicemanualer.
Indledende nyttelast skjult i hjælpefiler
Denne kampagne, der går under navnet STARK#VORTEX og overvåges af cybersikkerhedsfirmaet, starter med en Microsoft Compiled HTML Help (CHM) fil. Når denne fil er åbnet, aktiverer den ondsindet JavaScript indlejret i en af HTML-siderne, hvilket udløser PowerShell-kode. Denne PowerShell-kode er designet til at etablere kontakt med en ekstern server for at hente en sløret binær.
Efter afkodning afslører den Windows-baserede nyttelast Merlin Agent, som derefter er konfigureret til at etablere kommunikation med en kommando-og-kontrol-server (C2). Dette gør det muligt for cyberkriminelle at tage kontrol over den kompromitterede vært og udføre handlinger efter udnyttelse.
Forskerne bemærkede, at selvom angrebskæden virker relativt ligetil, har angriberne brugt indviklede taktikker, teknikker og procedurer (TTP'er) og sløringsmetoder for at undgå opdagelse.
Dette markerer det første tilfælde, hvor ukrainske regeringsenheder er blevet målrettet ved hjælp af Merlin-værktøjssættet. I begyndelsen af august 2023 afslørede Ukraines Computer Emergency Response Team (CERT-UA) en lignende angrebskæde, der brugte CHM-filer som lokkefugle til at inficere computere med dette open source-værktøj. CERT-UA tilskrev disse indtrængen til en trusselsaktør, som den sporer under navnet UAC-0154.
Forskerne understregede, at de filer og dokumenter, der anvendes i denne angrebskæde, har evnen til at omgå sikkerhedsforsvar. De bemærkede, at selvom det kan virke usædvanligt at modtage en Microsoft-hjælpefil via internettet, har angriberne indrammet disse lokkedokumenter, så de ligner noget, et intetanende offer kunne forvente at støde på i et dokument eller en fil med hjælpetema.