L’Equip d’Emergència de Ciberseguretat d’Ucraïna (CERT-UA) ha advertit recentment d’una campanya d’espionatge cibernètic dirigida a organismes estatals del país. L’actor de la amenaça, identificat com UAC-0063 des de 2021, es creu que està darrere de l’atac que utilitza segells de pesca per desplegar eines malicioses en sistemes infectats.
Els correus electrònics, enviats des d’una bústia compromesa anteriorment, es disfressen de procedents de l’Ambaixada de Tadjikistan a Ucraïna i vénen adjunts amb un document de Microsoft Word amb un script codificat anomenat HATVIBE. Aquest script s’utilitza per deixar caure malware addicional, com un registrador de tecles (LOGPIE), un porta-arrel basat en Python (CHERRYSPY) i una eina per extreure fitxers específics (STILLARCH o DownEx).
Val la pena assenyalar que DownEx ha estat documentat per Bitdefender com a utilitzat en atacs altament dirigits a entitats governamentals de Kazakhstan i Afganistan. Les arrels de l’equip d’hackeig romanen desconegudes, però el CERT-UA suggereix que el grup està apuntant a organitzacions de Mongòlia, Kazakhstan, Kirguizistan, Israel i Índia.
Des que Microsoft va desactivar la funció per defecte en fitxers d’Office descarregats des d’Internet, alguns actors de la amenaça han començat a experimentar i adaptar les seves cadenes d’atac i mecanismes de lliurament de càrregues per incloure tipus de fitxers poc comuns (CHM, ISO, LNK, VHD, XLL i WSF) i tècniques com el contraban d’HTML.
Proofpoint va observar diversos intermediaris d’accés inicial (IABs) que utilitzaven fitxers PDF i OneNote des de desembre de 2022, indicant un ràpid ritme de canvi per a molts actors de la amenaça. Això suggereix que tenen la capacitat de desenvolupar i executar ràpidament noves tècniques i ja no es basen en una o poques tècniques.
Source: Hackernews
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.