Phishingcampagne richt zich op Oekraïense militaire entiteiten

russia ukraine cyberattacks

Oekraïense militaire organisaties zijn het middelpunt geworden van een phishing-campagne die dronehandleidingen exploiteert om een op Go gebaseerde open-source post-exploitatietoolkit te leveren met de naam Merlin.

Securonix-onderzoekers Den Iuzvyk, Tim Peck en Oleg Kolesnikov meldden in een document gedeeld met The Hacker News dat omdat drones, ook bekend als Unmanned Aerial Vehicles (UAV’s), een essentieel instrument zijn geworden in het arsenaal van het Oekraïense leger, cybercriminelen kwaadwillige wapens zijn gaan circuleren. lokken-bestanden vermomd als UAV-servicehandleidingen.

Initiële fase Payload verborgen in Help-bestanden

Deze campagne, die de naam STARK#VORTEX draagt en wordt gecontroleerd door het cyberbeveiligingsbedrijf, begint met een Microsoft Compiled HTML Help (CHM)-bestand. Zodra dit bestand wordt geopend, wordt kwaadaardig JavaScript geactiveerd dat is ingebed in een van de HTML-pagina's, waardoor PowerShell-code wordt geactiveerd. Deze PowerShell-code is ontworpen om contact te maken met een externe server om een versluierd binair bestand op te halen.

Na het decoderen onthult de op Windows gebaseerde payload de Merlin Agent, die vervolgens wordt geconfigureerd om communicatie tot stand te brengen met een command-and-control (C2)-server. Hierdoor kunnen cybercriminelen de controle over de gecompromitteerde host overnemen en post-exploitatieacties uitvoeren.

De onderzoekers merkten op dat, hoewel de aanvalsketen relatief eenvoudig lijkt, de aanvallers ingewikkelde tactieken, technieken en procedures (TTP's) en verduisteringsmethoden hebben gebruikt om detectie te omzeilen.

Dit is het eerste geval waarin Oekraïense overheidsinstanties het doelwit zijn met behulp van de Merlin-toolkit. Begin augustus 2023 maakte het Computer Emergency Response Team van Oekraïne (CERT-UA) een soortgelijke aanvalsketen bekend, waarbij CHM-bestanden werden gebruikt als lokmiddel om computers te infecteren met deze open-source tool. CERT-UA schreef deze inbraken toe aan een bedreigingsacteur die het volgt onder de naam UAC-0154.

De onderzoekers benadrukten dat de bestanden en documenten die in deze aanvalsketen worden gebruikt, de mogelijkheid hebben om beveiligingsmaatregelen te omzeilen. Ze merkten op dat hoewel het misschien ongebruikelijk lijkt om een Microsoft-helpbestand via internet te ontvangen, de aanvallers deze lokdocumenten zo hebben vormgegeven dat ze lijken op iets dat een nietsvermoedend slachtoffer zou verwachten tegen te komen in een document of bestand met een Help-thema.

Tegen Zaib
September 25, 2023
Computer Security
Nederlands
September 25, 2023
Computer Security

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

5 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.