La squadra di risposta di emergenza informatica (CERT-UA) dell’Ucraina ha recentemente avvertito di una campagna di spionaggio informatico mirata ai corpi statali del paese. L’attore minaccioso, identificato come UAC-0063 dal 2021, è ritenuto responsabile dell’attacco che utilizza esche di phishing per distribuire strumenti dannosi su sistemi infetti.
Le e-mail, inviate da una casella di posta elettronica precedentemente compromessa, sono travestite da provenire dall’Ambasciata del Tagikistan in Ucraina e vengono allegate con un documento Microsoft Word con uno script VBScript codificato chiamato HATVIBE. Questo script viene utilizzato per rilasciare ulteriori malware, come un keylogger (LOGPIE), un backdoor basato su Python (CHERRYSPY) e uno strumento per l’esfiltrazione di file specifici (STILLARCH o DownEx).
Va notato che DownEx è stato documentato da Bitdefender come utilizzato in attacchi altamente mirati contro enti governativi del Kazakistan e dell’Afghanistan. Le origini della crew di hacking rimangono sconosciute, tuttavia, CERT-UA suggerisce che il gruppo sta mirando a organizzazioni di Mongolia, Kazakistan, Kirghizistan, Israele e India.
Dal momento che Microsoft ha disabilitato la funzionalità di default nei file di Office scaricati da Internet, alcuni attori minacciosi hanno iniziato a sperimentare e ad adattare le loro catene di attacco e meccanismi di consegna di payload per includere tipi di file insoliti (CHM, ISO, LNK, VHD, XLL e WSF) e tecniche come lo smuggling HTML.
Proofpoint ha osservato diversi broker di accesso iniziale (IAB) che utilizzano file PDF e OneNote a partire da dicembre 2022, indicando un rapido tasso di cambiamento per molti attori minacciosi. Ciò suggerisce che abbiano la capacità di sviluppare e eseguire rapidamente nuove tecniche e non si affidano più a una o a poche tecniche.
Source: Hackernews
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.