Фишинговая кампания направлена против украинских военных подразделений
Украинские военные организации стали центром фишинговой кампании, в ходе которой руководства по дронам используются для предоставления набора инструментов для пост-эксплуатации на основе Go с открытым исходным кодом под названием Merlin.
Исследователи Securonix Ден Юзвик, Тим Пек и Олег Колесников сообщили в документе, предоставленном The Hacker News, что, поскольку дроны, также известные как беспилотные летательные аппараты (БПЛА), стали важным инструментом в арсенале украинских военных, киберпреступники начали распространять вредоносные lure-файлы, замаскированные под руководства по обслуживанию БПЛА.
Полезная нагрузка начальной стадии скрыта в файлах справки
Эта кампания, получившая название STARK#VORTEX и контролируемая компанией по кибербезопасности, начинается с файла справки, скомпилированного Microsoft HTML (CHM). Как только этот файл открывается, он активирует вредоносный JavaScript, встроенный в одну из HTML-страниц, запуская код PowerShell. Этот код PowerShell предназначен для установления контакта с удаленным сервером для получения запутанного двоичного файла.
После декодирования полезная нагрузка на базе Windows обнаруживает агент Merlin, который затем настраивается для установления связи с сервером управления и контроля (C2). Это позволяет киберпреступникам получить контроль над скомпрометированным хостом и выполнить действия по его устранению.
Исследователи отметили, что, хотя цепочка атак выглядит относительно простой, злоумышленники использовали сложные тактики, методы и процедуры (TTP) и методы запутывания, чтобы избежать обнаружения.
Это первый случай, когда украинские государственные структуры стали объектом нападения с использованием инструментария Merlin. В начале августа 2023 года Украинская группа реагирования на компьютерные чрезвычайные ситуации (CERT-UA) раскрыла аналогичную цепочку атак, в которой файлы CHM использовались в качестве приманок для заражения компьютеров с помощью этого инструмента с открытым исходным кодом. CERT-UA приписал эти вторжения злоумышленнику, которого он отслеживает под именем UAC-0154.
Исследователи подчеркнули, что файлы и документы, использованные в этой цепочке атак, обладают способностью обходить средства защиты. Они отметили, что, хотя получение файла справки Microsoft через Интернет может показаться необычным, злоумышленники создали эти документы-заманухи так, чтобы они напоминали что-то, что ничего не подозревающая жертва могла бы ожидать встретить в документе или файле на справочную тему.