ウクライナ軍組織を標的としたフィッシング活動
ウクライナの軍事組織が、ドローンのマニュアルを悪用して Go ベースのオープンソースのエクスプロイト後ツールキット「Merlin」を配布するフィッシング キャンペーンの中心となっています。
Securonixの研究者であるDen Iuzvyk氏、Tim Peck氏、Oleg Kolesnikov氏は、The Hacker Newsと共有した文書の中で、無人航空機(UAV)としても知られるドローンがウクライナ軍の兵器庫において不可欠なツールとなっているため、サイバー犯罪者が悪意のある情報を流通させ始めていると報告した。 UAV サービスマニュアルを装ったファイルをおびき寄せます。
初期段階のペイロードがヘルプ ファイルに隠されている
STARK#VORTEX という名前で呼ばれるこのキャンペーンは、サイバーセキュリティ会社によって監視されており、Microsoft コンパイル済み HTML ヘルプ (CHM) ファイルから始まります。このファイルを開くと、HTML ページの 1 つに埋め込まれた悪意のある JavaScript がアクティブになり、PowerShell コードがトリガーされます。この PowerShell コードは、リモート サーバーとの接続を確立して難読化されたバイナリを取得するように設計されています。
デコード後、Windows ベースのペイロードから Merlin エージェントが明らかになり、コマンド アンド コントロール (C2) サーバーとの通信を確立するように構成されます。これにより、サイバー犯罪者は侵害されたホストを制御し、エクスプロイト後のアクションを実行できるようになります。
研究者らは、攻撃チェーンは比較的単純に見えますが、攻撃者は検出を回避するために複雑な戦術、技術、手順 (TTP) と難読化手法を採用していると指摘しました。
これは、Merlin ツールキットを使用してウクライナ政府機関が標的となった最初の例です。 2023 年 8 月初旬、ウクライナのコンピュータ緊急対応チーム (CERT-UA) は、CHM ファイルをおとりとして使用し、このオープンソース ツールでコンピュータを感染させる同様の攻撃チェーンを明らかにしました。 CERT-UA は、これらの侵入は、UAC-0154 という名前で追跡している攻撃者によるものであると考えています。
研究者らは、この攻撃チェーンで使用されたファイルと文書にはセキュリティ防御を回避する能力があると強調しました。彼らは、インターネット経由で Microsoft のヘルプ ファイルを受信するのは珍しいように思えるかもしれないが、攻撃者はこれらの誘惑ドキュメントを、何も知らない被害者がヘルプをテーマにしたドキュメントやファイルで遭遇すると予想するものに似せて作成していると指摘しました。