Phishing-kampanje retter seg mot ukrainske militære enheter
Ukrainske militærorganisasjoner har blitt fokuspunktet for en phishing-kampanje som utnytter dronemanualer for å levere et Go-basert åpen kildekode-verktøysett etter utnyttelse ved navn Merlin.
Securonix-forskerne Den Iuzvyk, Tim Peck og Oleg Kolesnikov rapporterte i et dokument som ble delt med The Hacker News at fordi droner, også kjent som Unmanned Aerial Vehicles (UAVs), har blitt et viktig verktøy i det ukrainske militærets arsenal, har nettkriminelle begynt å sirkulere ondsinnet lokke filer forkledd som UAV-servicemanualer.
Innledende nyttelast skjult i hjelpefiler
Denne kampanjen, som går under navnet STARK#VORTEX og overvåkes av cybersikkerhetsselskapet, starter med en Microsoft Compiled HTML Help (CHM)-fil. Når denne filen er åpnet, aktiverer den skadelig JavaScript innebygd i en av HTML-sidene, og utløser PowerShell-kode. Denne PowerShell-koden er designet for å etablere kontakt med en ekstern server for å hente en obfuskert binærfil.
Etter dekoding avslører den Windows-baserte nyttelasten Merlin Agent, som deretter konfigureres til å etablere kommunikasjon med en kommando-og-kontroll-server (C2). Dette gjør det mulig for nettkriminelle å ta kontroll over den kompromitterte verten og utføre handlinger etter utnyttelse.
Forskerne bemerket at selv om angrepskjeden virker relativt enkel, har angriperne brukt intrikate taktikker, teknikker og prosedyrer (TTP-er) og tilsløringsmetoder for å unngå oppdagelse.
Dette markerer det første tilfellet der ukrainske myndigheter har blitt målrettet ved å bruke Merlin-verktøysettet. Tidlig i august 2023 avslørte Computer Emergency Response Team of Ukraine (CERT-UA) en lignende angrepskjede som brukte CHM-filer som lokkefugler for å infisere datamaskiner med dette åpen kildekodeverktøyet. CERT-UA tilskrev disse inntrengingene til en trusselaktør den sporer under navnet UAC-0154.
Forskerne understreket at filene og dokumentene som brukes i denne angrepskjeden har evnen til å omgå sikkerhetsforsvar. De bemerket at selv om det kan virke uvanlig å motta en Microsoft hjelpefil via internett, har angriperne innrammet disse lokkedokumentene slik at de ligner noe et intetanende offer kan forvente å møte i et dokument eller en fil med hjelpetema.