Η εκστρατεία phishing στοχεύει σε ουκρανικές στρατιωτικές οντότητες
Οι ουκρανικοί στρατιωτικοί οργανισμοί έχουν γίνει το επίκεντρο μιας εκστρατείας phishing που εκμεταλλεύεται τα εγχειρίδια των drone για να παραδώσει μια εργαλειοθήκη μετά την εκμετάλλευση ανοιχτού κώδικα που βασίζεται στο Go που ονομάζεται Merlin.
Οι ερευνητές της Securonix Den Iuzvyk, Tim Peck και Oleg Kolesnikov ανέφεραν σε ένα έγγραφο που κοινοποιήθηκε στο The Hacker News ότι επειδή τα drones, γνωστά και ως Unmanned Aerial Vehicles (UAV), έχουν γίνει ουσιαστικό εργαλείο στο οπλοστάσιο του ουκρανικού στρατού, οι κυβερνοεγκληματίες έχουν αρχίσει να κυκλοφορούν κακόβουλο δελεάστε αρχεία μεταμφιεσμένα σε εγχειρίδια σέρβις UAV.
Ωφέλιμο φορτίο αρχικής φάσης κρυμμένο στα αρχεία βοήθειας
Αυτή η καμπάνια, η οποία ονομάζεται STARK#VORTEX και παρακολουθείται από την εταιρεία κυβερνοασφάλειας, ξεκινά με ένα αρχείο Microsoft Compiled HTML Help (CHM). Μόλις ανοίξει αυτό το αρχείο, ενεργοποιεί κακόβουλη JavaScript που είναι ενσωματωμένη σε μία από τις σελίδες HTML, ενεργοποιώντας τον κώδικα PowerShell. Αυτός ο κώδικας PowerShell έχει σχεδιαστεί για να δημιουργεί επαφή με έναν απομακρυσμένο διακομιστή για την ανάκτηση ενός ασαφούς δυαδικού αρχείου.
Μετά την αποκωδικοποίηση, το ωφέλιμο φορτίο που βασίζεται στα Windows αποκαλύπτει τον παράγοντα Merlin, ο οποίος στη συνέχεια ρυθμίζεται για να δημιουργεί επικοινωνία με έναν διακομιστή εντολών και ελέγχου (C2). Αυτό δίνει τη δυνατότητα στους κυβερνοεγκληματίες να αναλάβουν τον έλεγχο του παραβιασμένου κεντρικού υπολογιστή και να εκτελέσουν ενέργειες μετά την εκμετάλλευση.
Οι ερευνητές σημείωσαν ότι αν και η αλυσίδα επίθεσης φαίνεται σχετικά απλή, οι επιτιθέμενοι έχουν χρησιμοποιήσει περίπλοκες τακτικές, τεχνικές και διαδικασίες (TTP) και μεθόδους συσκότισης για να αποφύγουν τον εντοπισμό.
Αυτό σηματοδοτεί την πρώτη περίπτωση κατά την οποία οι ουκρανικές κυβερνητικές οντότητες έχουν στοχοποιηθεί χρησιμοποιώντας την εργαλειοθήκη Merlin. Στις αρχές Αυγούστου 2023, η Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών της Ουκρανίας (CERT-UA) αποκάλυψε μια παρόμοια αλυσίδα επίθεσης που χρησιμοποιούσε αρχεία CHM ως δόλωμα για να μολύνει υπολογιστές με αυτό το εργαλείο ανοιχτού κώδικα. Η CERT-UA απέδωσε αυτές τις εισβολές σε έναν παράγοντα απειλής που παρακολουθεί με το όνομα UAC-0154.
Οι ερευνητές τόνισαν ότι τα αρχεία και τα έγγραφα που χρησιμοποιούνται σε αυτήν την αλυσίδα επίθεσης διαθέτουν την ικανότητα να παρακάμπτουν τις άμυνες ασφαλείας. Σημείωσαν ότι ενώ μπορεί να φαίνεται ασυνήθιστο να λαμβάνετε ένα αρχείο βοήθειας της Microsoft μέσω του Διαδικτύου, οι εισβολείς έχουν πλαισιώσει αυτά τα έγγραφα δελεασμού για να μοιάζουν με κάτι που ένα ανυποψίαστο θύμα θα περίμενε να συναντήσει σε ένα έγγραφο ή αρχείο με θέμα τη βοήθεια.