Entidades militares ucranianas são o alvo de uma campanha de phishing que usa manuais de drones como iscas para entregar um kit de ferramentas de pós-exploração de código aberto baseado em Go chamado Merlin.
"Como os drones ou Veículos Aéreos Não Tripulados (UAVs) têm sido uma ferramenta integral usada pelo exército ucraniano, arquivos de iscas infectados por malware temáticos como manuais de serviço de UAVs começaram a surgir", disseram os pesquisadores da Securonix Den Iuzvyk, Tim Peck e Oleg Kolesnikov num relatório compartilhado com o The Hacker News.
A empresa de cibersegurança está rastreando a campanha sob o nome STARK#VORTEX.
O ponto de partida do ataque é um arquivo de Ajuda HTML Compilado da Microsoft (CHM) que, quando aberto, executa JavaScript mal-intencionado incorporado em uma das páginas HTML para executar código PowerShell projetado para contatar um servidor remoto para buscar um binário ofuscado.
A carga útil baseada no Windows é decodificada para extrair o Agente Merlin, que, por sua vez, é configurado para se comunicar com um servidor de comando e controle (C2) para ações de pós-exploração, efetivamente assumindo o controle do hospedeiro.
"Embora a cadeia de ataque seja bastante simples, os invasores utilizaram algumas TTPs e métodos de ofuscação bastante complexos para evadir a detecção", disseram os pesquisadores.
Esta é a primeira vez que organizações governamentais ucranianas foram alvo usando Merlin.
No início de agosto de 2023, a Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) divulgou uma cadeia de ataque semelhante que utiliza arquivos CHM como iscas para infectar os computadores com a ferramenta de código aberto.
CERT-UA atribuiu as intrusões a um ator de ameaça que monitora sob o nome UAC-0154.
"Arquivos e documentos usados na cadeia de ataque são muito capazes de contornar defesas", explicaram os pesquisadores.
"Normalmente receber um arquivo de ajuda da Microsoft pela internet seria considerado incomum.
No entanto, os invasores enquadraram os documentos de isca para parecerem algo que uma vítima desavisada poderia esperar aparecer em um documento ou arquivo temático de ajuda."
O desenvolvimento chega semanas depois que o CERT-UA disse que detectou um ataque cibernético mal sucedido contra uma instalação de infraestrutura energética crítica não nomeada no país realizada pela equipe patrocinada pelo estado russo chamada APT28.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...