Sukčiavimo kampanija nukreipta į Ukrainos karinius subjektus
Ukrainos karinės organizacijos tapo sukčiavimo kampanijos, kuri naudoja bepiločių orlaivių vadovus, kad pristatytų Go pagrindu sukurtą atvirojo kodo priemonių rinkinį, pavadintą Merlin, centru.
„Securonix“ tyrinėtojai Den Iuzvykas, Timas Peckas ir Olegas Kolesnikovas dokumente, pasidalintame su „The Hacker News“, pranešė, kad dronai, taip pat žinomi kaip nepilotuojami orlaiviai (UAV), tapo esminiu įrankiu Ukrainos kariuomenės arsenale, kibernetiniai nusikaltėliai pradėjo platinti kenkėjiškas medžiagas. viliojimo failai, užmaskuoti kaip UAV aptarnavimo vadovai.
Pradinio etapo naudingoji apkrova paslėpta žinyno failuose
Ši kampanija, kuri vadinasi STARK#VORTEX ir kurią stebi kibernetinio saugumo įmonė, prasideda Microsoft Compiled HTML Help (CHM) failu. Kai šis failas atidaromas, jis suaktyvina kenkėjišką „JavaScript“, įterptą viename iš HTML puslapių, ir suaktyvina „PowerShell“ kodą. Šis „PowerShell“ kodas skirtas užmegzti ryšį su nuotoliniu serveriu, kad būtų galima nuskaityti užmaskuotą dvejetainį failą.
Po dekodavimo „Windows“ pagrindu veikianti apkrova atskleidžia „Merlin“ agentą, kuris sukonfigūruojamas taip, kad užmegztų ryšį su komandų ir valdymo (C2) serveriu. Tai leidžia kibernetiniams nusikaltėliams perimti pažeisto pagrindinio kompiuterio kontrolę ir atlikti veiksmus po išnaudojimo.
Tyrėjai pažymėjo, kad nors atakų grandinė atrodo gana paprasta, užpuolikai taikė sudėtingas taktikas, metodus ir procedūras (TTP) bei užmaskavimo metodus, kad išvengtų aptikimo.
Tai pirmasis atvejis, kai Ukrainos vyriausybės subjektai buvo nukreipti naudojant Merlin priemonių rinkinį. 2023 m. rugpjūčio pradžioje Ukrainos kompiuterių avarijų reagavimo komanda (CERT-UA) atskleidė panašią atakų grandinę, kuri naudojo CHM failus kaip apgaulę, kad užkrėstų kompiuterius šiuo atvirojo kodo įrankiu. CERT-UA šiuos įsibrovimus priskyrė grėsmės veikėjui, kurį seka pavadinimu UAC-0154.
Tyrėjai pabrėžė, kad šioje atakų grandinėje naudojami failai ir dokumentai turi galimybę apeiti apsaugos priemones. Jie pažymėjo, kad nors gali atrodyti neįprasta gauti „Microsoft“ pagalbos failą internetu, užpuolikai įrėmino šiuos viliojimo dokumentus taip, kad jie būtų panašūs į tai, ką nieko neįtarianti auka gali tikėtis susidurti pagalbos tema skirtame dokumente ar faile.