Az adathalász kampány ukrán katonai szervezeteket céloz meg

Az ukrán katonai szervezetek egy olyan adathalász kampány fókuszpontjává váltak, amely a drónok kézikönyveit használja ki a Merlin nevű, Go-alapú, nyílt forráskódú utókihasználási eszközkészlet létrehozására.

A Securonix kutatói, Den Iuzvyk, Tim Peck és Oleg Kolesnikov a The Hacker News-szal megosztott dokumentumban arról számoltak be, hogy mivel a pilóta nélküli légijárművek (UAV) néven is ismert drónok az ukrán hadsereg fegyvertárának alapvető eszközeivé váltak, a kiberbűnözők rosszindulatú anyagokat terjesztettek. UAV szervizkönyvnek álcázott csalogató fájlokat.

A kezdeti szakasz hasznos terhelése elrejtve a súgófájlokban

Ez a kampány, amely a STARK#VORTEX nevet viseli, és amelyet a kiberbiztonsági vállalat felügyel, egy Microsoft Compiled HTML Help (CHM) fájllal indul. A fájl megnyitása után aktiválja az egyik HTML-oldalba beágyazott rosszindulatú JavaScriptet, és PowerShell-kódot indít el. Ezt a PowerShell-kódot arra tervezték, hogy kapcsolatot létesítsen egy távoli kiszolgálóval, hogy lekérjen egy obfuszkált bináris fájlt.

A dekódolás után a Windows-alapú hasznos adat felfedi a Merlin Agentet, amely ezután úgy van konfigurálva, hogy kommunikációt létesítsen egy parancs- és vezérlőkiszolgálóval (C2). Ez lehetővé teszi a kiberbűnözők számára, hogy átvegyék az irányítást a feltört gazdagép felett, és a kizsákmányolás utáni műveleteket hajtsák végre.

A kutatók megjegyezték, hogy bár a támadási lánc viszonylag egyszerűnek tűnik, a támadók bonyolult taktikákat, technikákat és eljárásokat (TTP) és homályos módszereket alkalmaztak az észlelés elkerülésére.

Ez az első olyan eset, amikor az ukrán kormányzati szerveket célozták meg a Merlin eszköztár segítségével. 2023 augusztusának elején az ukrán Computer Emergency Response Team (CERT-UA) hasonló támadási láncot hozott nyilvánosságra, amely CHM-fájlokat használt csaliként a számítógépek megfertőzésére ezzel a nyílt forráskódú eszközzel. A CERT-UA ezeket a behatolásokat egy fenyegetés szereplőjének tulajdonította, amelyet UAC-0154 néven követ.

A kutatók hangsúlyozták, hogy a támadási láncban használt fájlok és dokumentumok képesek megkerülni a biztonsági védelmet. Megjegyezték, hogy bár szokatlannak tűnhet az interneten keresztül Microsoft-súgófájlt kapni, a támadók úgy keretezték ezeket a csalogató dokumentumokat, hogy valami olyasmire hasonlítsanak, amellyel egy gyanútlan áldozat találkozhat egy súgótémájú dokumentumban vagy fájlban.