A Ucrânia está alertando sobre uma onda de ataques direcionada a organizações estaduais usando o 'Merlin', uma estrutura de pós-exploração e comando e controle de código aberto.
Merlin é um kit de ferramentas de pós-exploração multiplataforma baseado em Go disponível gratuitamente via GitHub, fornecendo vasta documentação para profissionais de segurança usar em exercícios de red team.
Ele oferece uma ampla gama de recursos, permitindo que os membros do red team (e atacantes) obtenham um ponto de apoio em uma rede comprometida.
No entanto, como vimos com o Sliver, o Merlin agora está sendo usado indevidamente por atores de ameaças que o usam para impulsionar seus próprios ataques e se espalhar lateralmente por redes comprometidas.
A CERT-UA informa que detectou isso em ataques que começaram com a chegada de um email de phishing que se passava pela agência e supostamente fornecia aos destinatários instruções sobre como proteger seu pacote MS Office.
Os emails trazem um anexo de arquivo CHM que, se aberto, executa um código JavaScript que, por sua vez, executa um script PowerShell que busca, descriptografa e descompacta um arquivo GZIP que contém o executável "ctlhost.exe".
Se o destinatário executar este arquivo, seu computador será infectado pelo MerlinAgent, dando aos atores de ameaças acesso à sua máquina, dados e um ponto de apoio para se mover lateralmente na rede.
A CERT-UA atribuiu a esta atividade maliciosa o identificador único UAC-0154, e os primeiros ataques foram registrados em 10 de julho de 2023, quando os atores de ameaças usaram um isca de "treinamento de UAV" em seus emails.
Usar ferramentas de código aberto como o Merlin para atacar agências governamentais ou outras organizações importantes dificulta a atribuição, deixando menos traços distintos que podem ser vinculados a atores de ameaças específicos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...