Une campagne de phishing cible les entités militaires ukrainiennes
Les organisations militaires ukrainiennes sont devenues le point central d’une campagne de phishing qui exploite les manuels de drones pour fournir une boîte à outils de post-exploitation open source basée sur Go nommée Merlin.
Les chercheurs de Securonix Den Iuzvyk, Tim Peck et Oleg Kolesnikov ont rapporté dans un document partagé avec The Hacker News que parce que les drones, également connus sous le nom de véhicules aériens sans pilote (UAV), sont devenus un outil essentiel dans l'arsenal militaire ukrainien, les cybercriminels ont commencé à diffuser des attaques malveillantes. fichiers leurres déguisés en manuels d’entretien d’UAV.
Charge utile de la phase initiale masquée dans les fichiers d'aide
Cette campagne, baptisée STARK#VORTEX et surveillée par la société de cybersécurité, démarre avec un fichier d'aide HTML compilé Microsoft (CHM). Une fois ce fichier ouvert, il active du JavaScript malveillant intégré dans l'une des pages HTML, déclenchant le code PowerShell. Ce code PowerShell est conçu pour établir un contact avec un serveur distant afin de récupérer un binaire obscurci.
Après décodage, la charge utile basée sur Windows révèle l'agent Merlin, qui est ensuite configuré pour établir une communication avec un serveur de commande et de contrôle (C2). Cela permet aux cybercriminels de prendre le contrôle de l'hôte compromis et d'exécuter des actions post-exploitation.
Les chercheurs ont noté que même si la chaîne d’attaque semble relativement simple, les attaquants ont utilisé des tactiques, techniques et procédures (TTP) et méthodes d’obscurcissement complexes pour échapper à la détection.
Il s’agit du premier cas dans lequel des entités gouvernementales ukrainiennes sont ciblées à l’aide de la boîte à outils Merlin. Début août 2023, l’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) a révélé une chaîne d’attaque similaire utilisant des fichiers CHM comme leurres pour infecter les ordinateurs avec cet outil open source. Le CERT-UA a attribué ces intrusions à un acteur menaçant qu'il suit sous le nom d'UAC-0154.
Les chercheurs ont souligné que les fichiers et documents utilisés dans cette chaîne d’attaque possèdent la capacité de contourner les défenses de sécurité. Ils ont noté que même s'il peut sembler inhabituel de recevoir un fichier d'aide Microsoft via Internet, les attaquants ont conçu ces documents leurres pour ressembler à quelque chose qu'une victime sans méfiance pourrait s'attendre à rencontrer dans un document ou un fichier sur le thème de l'aide.