Campagna di phishing contro entità militari ucraine
Le organizzazioni militari ucraine sono diventate il punto focale di una campagna di phishing che sfrutta i manuali dei droni per fornire un toolkit post-sfruttamento open source basato su Go chiamato Merlin.
I ricercatori di Securonix Den Iuzvyk, Tim Peck e Oleg Kolesnikov hanno riferito in un documento condiviso con The Hacker News che poiché i droni, noti anche come veicoli aerei senza pilota (UAV), sono diventati uno strumento essenziale nell'arsenale militare ucraino, i criminali informatici hanno iniziato a diffondere programmi dannosi file di esca camuffati da manuali di servizio UAV.
Payload della fase iniziale nascosto nei file della Guida
Questa campagna, che si chiama STARK#VORTEX ed è monitorata dalla società di sicurezza informatica, prende il via con un file Microsoft Compiled HTML Help (CHM). Una volta aperto, questo file attiva JavaScript dannoso incorporato in una delle pagine HTML, attivando il codice PowerShell. Questo codice PowerShell è progettato per stabilire un contatto con un server remoto per recuperare un file binario offuscato.
Dopo la decodifica, il payload basato su Windows rivela il Merlin Agent, che viene quindi configurato per stabilire la comunicazione con un server di comando e controllo (C2). Ciò consente ai criminali informatici di assumere il controllo dell'host compromesso ed eseguire azioni post-sfruttamento.
I ricercatori hanno notato che, sebbene la catena di attacco appaia relativamente semplice, gli aggressori hanno utilizzato tattiche, tecniche e procedure (TTP) complesse e metodi di offuscamento per eludere il rilevamento.
Questo segna il primo caso in cui enti governativi ucraini sono stati presi di mira utilizzando il toolkit Merlin. All’inizio di agosto 2023, il Computer Emergency Response Team of Ukraine (CERT-UA) ha rivelato una catena di attacco simile che utilizzava file CHM come esche per infettare i computer con questo strumento open source. Il CERT-UA ha attribuito queste intrusioni a un attore di minacce rintracciato con il nome UAC-0154.
I ricercatori hanno sottolineato che i file e i documenti utilizzati in questa catena di attacchi possiedono la capacità di aggirare le difese di sicurezza. Hanno notato che, sebbene possa sembrare insolito ricevere un file della guida di Microsoft via Internet, gli aggressori hanno strutturato questi documenti di richiamo in modo che assomiglino a qualcosa che una vittima ignara potrebbe aspettarsi di incontrare in un documento o file a tema di guida.
