Η Securonix Threat Research ανακάλυψε μια σημαντική επίθεση με την ονομασία STARK#VORTEX, η οποία φαίνεται να προέρχεται από μια ομάδα γνωστή ως UAC-0154. Η ομάδα φαίνεται να διανέμει το malware MerlinAgent.
Αυτή η καμπάνια στοχεύει ειδικά το στρατό της Ουκρανίας, αξιοποιώντας μια τακτική που περιλαμβάνει δόλωμα που σχετίζεται με τα drones.
Τα drones έχουν παίξει καθοριστικό ρόλο στις στρατιωτικές επιχειρήσεις της Ουκρανίας, καθιστώντας τα ελκυστικό θέμα για κακόβουλους παράγοντες.
Οι επιτιθέμενοι πίσω από το UAC-0154 αρχικά χρησιμοποίησαν έγγραφα με στρατιωτικό θέμα που στάλθηκαν μέσω email σε ουκρανικούς στόχους στο @ukr.net.
Ωστόσο, οι τακτικές τους έχουν εξελιχθεί και τώρα έχουν στραφεί στην παράδοση του κακόβουλου λογισμικού MerlinAgent χρησιμοποιώντας μια νέα προσέγγιση.
Δείτε επίσης: Το ZenRAT malware εντοπίστηκε σε μια ψεύτικη σελίδα Bitwarden
Δείτε επίσης: ZeroFont: Ξεγελά το Outlook ώστε να εμφανίζει ψεύτικες σαρώσεις AV
Ακολουθεί μια ανάλυση της αλυσίδας επίθεσης:
Αρχείο Lure – Το παραπλανητικό αρχείο είναι μεταμφιεσμένο ως αρχείο Microsoft Help, κοινώς γνωστό ως αρχείο .chm. Συγκεκριμένα, είχε τον τίτλο “Information about UAV training for the army.v2.2.chm”, που μεταφράζεται σε “πληροφορίες σχετικά με την εκπαίδευση UAV για τον στρατό”.
Όταν ο χρήστης ανοίγει αυτό το έγγραφο, ενεργοποιείται ένας κακόβουλος κώδικας JavaScript που έχει ενσωματωθεί μέσα σε αυτό.
Obfuscated PowerShell – Ο κώδικας JavaScript μέσα στο αρχείο .chm επικοινωνεί με έναν απομακρυσμένο διακομιστή Command and Control (C2) για τη λήψη ενός obfuscated binary payload.
Payload Activation – Αυτό το ωφέλιμο φορτίο, αφού αποκωδικοποιηθεί, γίνεται ωφέλιμο φορτίο για το κακόβουλο λογισμικό MerlinAgent, δημιουργώντας επικοινωνία με τον διακομιστή C2 και παραχωρώντας τον πλήρη έλεγχο στους εισβολείς.
Η αλυσίδα επίθεσης μπορεί να φαίνεται απλή, αλλά οι χάκερ χρησιμοποίησαν περίπλοκες τακτικές και μεθόδους απόκρυψης για να αποφύγουν την ανίχνευση σε κάθε στάδιο.
Initial Code Execution – Τα αρχεία Microsoft Help, παρόλο που είναι παλαιότερη μορφή, μπορούν ακόμα να εκτελεστούν σε σύγχρονα συστήματα Windows.
Σε αυτήν την περίπτωση, το αρχείο .chm ξεκίνησε τη διαδικασία PowerShell, παρακάμπτοντας τις ανιχνεύσεις προστασίας από antivirus και EDR.
Help File and JavaScript Execution – Αυτά τα αρχεία λειτούργησαν ως δοχεία, ενώ η περιεκτικότητά τους αναλύθηκε, αποκαλύπτοντας κώδικα JavaScript που είχε κρυπτογραφηθεί και εκτέλεσε ένα άλλο κρυπτογραφημένο PowerShell script.
PowerShell Execution – Ο κώδικας PowerShell ενεπλάκη σε πολλαπλά επίπεδα απόκρυψης, συμπεριλαμβανομένης της κωδικοποίησης Base64, της συμπίεσης GZIP και των αντικαταστάσεων χαρακτήρων. Κατέβασε το φορτίο από μια συγκεκριμένη διεύθυνση URL, αποκωδικοποίησε το και το αποθήκευσε τοπικά.
Binary File Analysis – Το downloaded binary , μεγέθους περίπου 5 MB, αποδείχθηκε ότι ήταν ένα εκτελέσιμο αρχείο 64-bit που σχετίζεται με το πλαίσιο MerlinAgent, ένα πλαίσιο εντολών και ελέγχου ανοιχτού κώδικα (C2) που διατίθεται στο GitHub.
Αυτό το framework προσφέρει διάφορες δυνατότητες, όπως κρυπτογραφημένη επικοινωνία C2, απομακρυσμένες κατανομές εντολών, υποστήριξη ενοτήτων και πολλά άλλα.
C2 and Infrastructure – Οι εισβολείς δημιούργησαν κρυπτογραφημένη επικοινωνία με διακομιστές C2 μέσω της θύρας 443, καθιστώντας τον εντοπισμό πιο δύσκολο.
Αυτή η εξαιρετικά στοχοθετημένη επίθεση επικεντρώθηκε στον Ουκρανικό στρατό. Η χρήση αρχείων και εγγράφων που μπορούν εύκολα να παρακάμψουν τις άμυνες και ο έξυπνος τρόπος που τοποθετήθηκαν από τους επιτιθέμενους υπογραμμίζουν την ανάγκη για επαγρύπνηση.
Δείτε επίσης: Η Sony διερευνά ισχυρισμούς περί hack – Διαφορετικοί hackers αναλαμβάνουν την ευθύνη
Η Securonix συνιστά αρκετούς μετριασμούς, όπως η αποφυγή λήψης αρχείων από μη αξιόπιστες πηγές, η παρακολούθηση συγκεκριμένων καταλόγων για ύποπτες δραστηριότητες και η ανάπτυξη βελτιωμένων λύσεων καταγραφής για βελτιωμένη κάλυψη ανίχνευσης.
Πηγή πληροφοριών: cybersecuritynews.com
