O ator de ameaças conhecido como UAC-0099 foi associado a ataques contínuos direcionados à Ucrânia, alguns dos quais utilizam uma falha de alta gravidade no software WinRAR para entregar uma cepa de malware chamada LONEPAGE.
"O ator de ameaças tem como alvo funcionários ucranianos que trabalham para empresas fora da Ucrânia", disse a empresa de cibersegurança Deep Instinct em uma análise de quinta-feira.
UAC-0099 foi documentado pela primeira vez pela Equipe de Resposta a Emergências de Computador da Ucrânia (CERT-UA) em junho de 2023, detalhando seus ataques contra organizações estatais e entidades de mídia por motivos de espionagem.
As cadeias de ataque aproveitaram mensagens de phishing contendo anexos de arquivos HTA, RAR e LNK que levaram ao desdobramento do LONEPAGE, um malware do Visual Basic Script (VBS) que é capaz de contatar um servidor de comando e controle (C2) para recuperar payloads como keyloggers, ladrões e malwares de captura de tela.
"Durante 2022-2023, o grupo mencionado recebeu acesso remoto não autorizado a várias dezenas de computadores na Ucrânia", disse o CERT-UA na época.
A análise mais recente da Deep Instinct revela que o uso de anexos HTA é apenas uma de três diferentes infecções, as outras duas das quais se aproveitam de arquivos autoextraíveis (SFX) e arquivos ZIP armadilhados, que exploram a vulnerabilidade do WinRAR (
CVE-2023-38831
, pontuação CVSS: 7.8) para distribuir o LONEPAGE.
No primeiro, o arquivo SFX abriga um atalho LNK que está disfarçado como um arquivo DOCX para uma intimação judicial, enquanto usa o ícone do Microsoft WordPad para incentivar a vítima a abri-lo, resultando na execução de código PowerShell malicioso que distribui o malware LONEPAGE.
A outra sequência de ataque usa um arquivo ZIP especialmente criado que é suscetível ao
CVE-2023-38831
, com a Deep Instinct encontrando duas dessas peças criadas por UAC-0099 em 5 de agosto de 2023, três dias depois que os mantenedores do WinRAR lançaram uma correção para o bug.
"As táticas usadas pelo 'UAC-0099' são simples, mas eficazes", disse a empresa.
"Apesar dos diferentes vetores de infecção inicial, a infecção central é a mesma — eles contam com o PowerShell e a criação de uma tarefa agendada que executa um arquivo VBS."
O desenvolvimento ocorre à medida que o CERT-UA alertou sobre uma nova onda de mensagens de phishing que pretendem ser dívidas pendentes da Kyivstar para propagar um trojan de acesso remoto conhecido como Remcos RAT.
A agência atribuiu a campanha a UAC-0050.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...