Campanha de Phishing tem como alvo entidades militares ucranianas
As organizações militares ucranianas tornaram-se o ponto focal de uma campanha de phishing que explora manuais de drones para fornecer um kit de ferramentas pós-exploração de código aberto baseado em Go chamado Merlin.
Os pesquisadores da Securonix, Den Iuzvyk, Tim Peck e Oleg Kolesnikov, relataram em um documento compartilhado com o The Hacker News que, como os drones, também conhecidos como Veículos Aéreos Não Tripulados (UAVs), se tornaram uma ferramenta essencial no arsenal militar ucraniano, os cibercriminosos começaram a circular atrair arquivos disfarçados de manuais de serviço de UAV.
Carga útil do estágio inicial oculta em arquivos de ajuda
Esta campanha, chamada STARK#VORTEX e monitorada pela empresa de segurança cibernética, começa com um arquivo Microsoft Compiled HTML Help (CHM). Depois que esse arquivo é aberto, ele ativa o JavaScript malicioso incorporado em uma das páginas HTML, acionando o código do PowerShell. Este código do PowerShell foi projetado para estabelecer contato com um servidor remoto para recuperar um binário ofuscado.
Após a decodificação, a carga baseada no Windows revela o Agente Merlin, que é então configurado para estabelecer comunicação com um servidor de comando e controle (C2). Isso permite que os cibercriminosos assumam o controle do host comprometido e executem ações pós-exploração.
Os pesquisadores observaram que, embora a cadeia de ataque pareça relativamente simples, os invasores empregaram táticas, técnicas e procedimentos (TTPs) intrincados e métodos de ofuscação para evitar a detecção.
Isto marca o primeiro caso em que entidades governamentais ucranianas foram visadas através do kit de ferramentas Merlin. No início de agosto de 2023, a Equipe de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) divulgou uma cadeia de ataque semelhante que usava arquivos CHM como iscas para infectar computadores com esta ferramenta de código aberto. O CERT-UA atribuiu essas invasões a um agente de ameaça que ele rastreia sob o nome UAC-0154.
Os pesquisadores enfatizaram que os arquivos e documentos empregados nesta cadeia de ataque possuem a capacidade de contornar as defesas de segurança. Eles observaram que, embora possa parecer incomum receber um arquivo de ajuda da Microsoft pela Internet, os invasores enquadraram esses documentos para se parecerem com algo que uma vítima inocente poderia esperar encontrar em um documento ou arquivo com tema de ajuda.