Militares ucranianos são alvo de campanha de phishing utilizando manuais de drones

Entidades militares ucranianas estão sendo alvo de uma campanha de phishing que utiliza manuais de drones como iscas para entregar uma ferramenta de pós-exploração de código aberto baseada em Go chamada Merlin.

"Como os drones ou Veículos Aéreos Não Tripulados (VANTs) têm sido uma ferramenta fundamental utilizada pelas forças militares ucranianas, arquivos de isca infectados por malware com o tema de manuais de serviços de VANTs começaram a aparecer", disseram os pesquisadores da Securonix Den Iuzvyk, Tim Peck e Oleg Kolesnikov em um relatório compartilhado com o The Hacker News.

A empresa de cibersegurança está rastreando a campanha sob o nome STARK#VORTEX.

O ponto de partida do ataque é um arquivo de Ajuda HTML Compilado da Microsoft (CHM) que, quando aberto, executa um JavaScript malicioso embutido em uma das páginas HTML para executar código PowerShell projetado para se comunicar com um servidor remoto e buscar um binário ofuscado.

O payload baseado em Windows é decodificada para extrair o Agente Merlin, que, por sua vez, é configurado para se comunicar com um servidor de comando e controle para ações de pós-exploração, efetivamente assumindo o controle sobre o hospedeiro.

"Embora a cadeia de ataque seja bastante simples, os atacantes aproveitaram TTPs (Técnicas, Táticas e Procedimentos) bastante complexos e métodos de ofuscação para evitar a detecção", disseram os pesquisadores.

Esta é a primeira vez que organizações governamentais ucranianas são alvo do Merlin. No início de agosto de 2023, o Computer Emergency Response Team da Ucrânia (CERT-UA) revelou uma cadeia de ataque semelhante que utiliza arquivos CHM como iscas para infectar computadores com a ferramenta de código aberto.

O CERT-UA atribuiu as intrusões a um ator de ameaças que monitora sob o nome UAC-0154.

"Os arquivos e documentos usados na cadeia de ataque são muito capazes de contornar as defesas", explicaram os pesquisadores.

"Normalmente, receber um arquivo de ajuda da Microsoft pela Internet seria considerado incomum. No entanto, os atacantes moldaram os documentos de isca para parecerem algo que uma vítima desavisada poderia esperar encontrar em um documento ou arquivo com tema de ajuda."

O desenvolvimento ocorre semanas depois que o CERT-UA afirmou ter detectado um ataque cibernético malsucedido contra uma instalação de infraestrutura energética crítica não nomeada no país, realizado pelo grupo patrocinado pelo estado russo chamado APT28.

Fonte