Kampania phishingowa skierowana jest do ukraińskich jednostek wojskowych
Ukraińskie organizacje wojskowe stały się centralnym punktem kampanii phishingowej, która wykorzystuje instrukcje obsługi dronów w celu dostarczenia opartego na Go zestawu narzędzi typu open source po eksploatacji o nazwie Merlin.
Badacze Securonix, Den Iuzvyk, Tim Peck i Oleg Kolesnikov, w dokumencie udostępnionym The Hacker News poinformowali, że ponieważ drony, znane również jako bezzałogowe statki powietrzne (UAV), stały się niezbędnym narzędziem w arsenale ukraińskiej armii, cyberprzestępcy zaczęli rozpowszechniać złośliwe oprogramowanie pliki przynęty udające instrukcje serwisowe UAV.
Ładunek początkowego etapu ukryty w plikach pomocy
Ta kampania, która nosi nazwę STARK#VORTEX i jest monitorowana przez firmę zajmującą się cyberbezpieczeństwem, rozpoczyna się od pliku Microsoft Compiled HTML Help (CHM). Po otwarciu tego pliku aktywuje on złośliwy JavaScript osadzony na jednej ze stron HTML, uruchamiając kod PowerShell. Ten kod programu PowerShell ma na celu nawiązanie kontaktu ze zdalnym serwerem w celu pobrania zaciemnionego pliku binarnego.
Po zdekodowaniu ładunek oparty na systemie Windows ujawnia agenta Merlin, który jest następnie konfigurowany w celu nawiązania komunikacji z serwerem dowodzenia i kontroli (C2). Umożliwia to cyberprzestępcom przejęcie kontroli nad zaatakowanym hostem i wykonanie działań po wykorzystaniu.
Badacze zauważyli, że chociaż łańcuch ataków wydaje się stosunkowo prosty, napastnicy zastosowali skomplikowane taktyki, techniki i procedury (TTP) oraz metody zaciemniania, aby uniknąć wykrycia.
Jest to pierwszy przypadek, w którym ukraińskie podmioty rządowe stały się celem przy użyciu zestawu narzędzi Merlin. Na początku sierpnia 2023 r. ukraiński zespół reagowania na incydenty komputerowe (CERT-UA) ujawnił podobny łańcuch ataków, w którym wykorzystywano pliki CHM jako przynęty do infekowania komputerów za pomocą tego narzędzia o otwartym kodzie źródłowym. CERT-UA przypisał te włamania śledzonemu przez siebie ugrupowaniu zagrażającemu pod nazwą UAC-0154.
Badacze podkreślili, że pliki i dokumenty wykorzystywane w tym łańcuchu ataków potrafią ominąć zabezpieczenia. Zauważyli, że choć otrzymanie pliku pomocy firmy Microsoft przez Internet może wydawać się niezwykłe, napastnicy oprawili te dokumenty w ramkę tak, aby przypominały coś, czego niczego niepodejrzewająca ofiara mogłaby się spodziewać w dokumencie lub pliku o tematyce pomocy.