Nätfiskekampanj riktar sig till ukrainska militära enheter
Ukrainska militära organisationer har blivit fokuspunkten för en nätfiskekampanj som utnyttjar drönarmanualer för att leverera en Go-baserad öppen källkod efter exploateringsverktyget vid namn Merlin.
Securonix-forskarna Den Iuzvyk, Tim Peck och Oleg Kolesnikov rapporterade i ett dokument som delas med The Hacker News att eftersom drönare, även kända som Unmanned Aerial Vehicles (UAV), har blivit ett viktigt verktyg i den ukrainska militärens arsenal, har cyberbrottslingar börjat cirkulera skadliga locka filer förklädda som UAV-servicemanualer.
Initialt nyttolast gömd i hjälpfiler
Denna kampanj, som går under namnet STARK#VORTEX och övervakas av cybersäkerhetsföretaget, startar med en Microsoft Compiled HTML Help (CHM)-fil. När den här filen har öppnats aktiverar den skadlig JavaScript inbäddad på en av HTML-sidorna, vilket utlöser PowerShell-kod. Denna PowerShell-kod är utformad för att upprätta kontakt med en fjärrserver för att hämta en obfuskerad binär.
Efter avkodning avslöjar den Windows-baserade nyttolasten Merlin Agent, som sedan konfigureras för att upprätta kommunikation med en kommando-och-kontroll-server (C2). Detta gör det möjligt för cyberbrottslingar att ta kontroll över den komprometterade värden och utföra åtgärder efter exploatering.
Forskarna noterade att även om attackkedjan verkar relativt okomplicerad har angriparna använt invecklade taktiker, tekniker och förfaranden (TTP) och fördunklingsmetoder för att undvika upptäckt.
Detta markerar det första fallet där ukrainska regeringsenheter har utsatts för mål med hjälp av Merlins verktygslåda. I början av augusti 2023 avslöjade Computer Emergency Response Team of Ukraine (CERT-UA) en liknande attackkedja som använde CHM-filer som lockbete för att infektera datorer med detta open source-verktyg. CERT-UA tillskrev dessa intrång till en hotaktör som den spårar under namnet UAC-0154.
Forskarna betonade att filerna och dokumenten som används i denna attackkedja har förmågan att kringgå säkerhetsförsvar. De noterade att även om det kan tyckas ovanligt att ta emot en Microsoft-hjälpfil via internet, har angriparna ramat in dessa lockbetedokument för att likna något som ett intet ont anande offer kan förvänta sig att stöta på i ett dokument eller en fil med hjälptema.