Sommario
Il phishing basato su file HTA si sta affermando come una delle tecniche più aggressive in Ucraina, dove il gruppo UAC-0099 ha lanciato campagne mirate contro agenzie governative e aziende della difesa. Le email, camuffate da notifiche legali, sfruttano domini affidabili come UKR.NET e link abbreviati via Cuttly per indurre gli utenti a scaricare archivi ZIP contenenti file HTA malevoli. Il contenuto, strutturato con script VBS e meccanismi di persistenza tramite scheduled tasks, distribuisce una catena di malware scritti in C#, tra cui MATCHBOIL, MATCHWOK e DRAGSTARE. Dal 2023 al 2024, CERT-UA ed ESET osservano un’evoluzione significativa nelle tecniche di attacco, con uso crescente di vulnerabilità note, script obfuscati e abuso di infrastrutture legittime per l’esfiltrazione. Il risultato è una compromissione profonda di sistemi critici, furto di credenziali, file e dati operativi. CERT-UA invita alla massima vigilanza su link sospetti, al monitoraggio continuo di PowerShell e alla condivisione attiva degli indicatori di compromissione (IOC) per limitare l’impatto geopolitico e la propagazione delle minacce.
Attacchi phishing con lures giudiziari
Le campagne segnalate da CERT-UA impiegano email fraudolente con contenuti legali ingannevoli come stratagemma per aumentare la credibilità del messaggio. I mittenti sfruttano domini fidati come UKR.NET, indirizzando le vittime verso link accorciati che scaricano archivi compressi doppi. Questi archivi contengono un documento PDF apparentemente innocuo e un file .HTA obfuscato che, se eseguito, attiva uno script VBS capace di installare una task pianificata per mantenere la persistenza. Il file HTA, una volta lanciato, esegue MATCHBOIL, un loader in C# che scarica ulteriori payload da server remoti, avvia comandi PowerShell e stabilisce modifiche al registro per garantire esecuzione continuativa. Questi attacchi mirano a obiettivi ad alto valore come ministeri, enti pubblici e contractor militari, spesso sfruttando temi specifici alla realtà ucraina per aumentare il tasso di apertura. CERT-UA osserva anche l’uso di fast-flux DNS per evadere le blacklist e segnala sovrapposizioni con le tattiche del gruppo Gamaredon, suggerendo l’adozione di tecniche comuni o tool condivisi tra attori diversi.
Malware C# e funzionalità dettagliate
La catena malware identificata da CERT-UA è scritta interamente in C#, una scelta che facilita l’integrazione con ambienti Windows e permette una maggiore evasione. Il primo componente, MATCHBOIL, funge da loader modulare, verificando la firma dei file scaricati, configurando task persistenti e avviando comandi PowerShell. Il secondo componente, MATCHWOK, agisce da backdoor, mantenendo una connessione persistente con il server C2 tramite socket TCP. Riceve comandi remoti, inclusi script PowerShell per l’esecuzione di attività specifiche, e invia l’output in forma cifrata. Questo modulo è capace di evitare i controlli tradizionali grazie all’uso di tecniche come offuscamento delle stringhe e caricamento dinamico degli assembly. Il terzo componente, DRAGSTARE, opera come stealer e strumento di ricognizione visiva, raccogliendo credenziali salvate nei browser, cookie di sessione, file locali e screenshot. I dati vengono compressi e inviati via HTTP POST a server controllati dagli attaccanti. CERT-UA evidenzia la modularità del framework e il continuo aggiornamento dei tool, con nuove varianti osservate in test su target limitati prima del rilascio su larga scala.
Threat actor UAC-0099 e evoluzione tattiche
Il gruppo UAC-0099 è classificato da CERT-UA come un threat actor persistente con obiettivi strategici, attivo almeno dal giugno 2023. Il gruppo ha inizialmente sfruttato la vulnerabilità CVE-2023-38831 di WinRAR per distribuire il malware LONEPAGE, ma ha rapidamente evoluto le sue capacità implementando nuove tecniche di spear-phishing e abuso di servizi legittimi come Cuttly o infrastrutture CDN. Le campagne del 2024 mostrano una raffinazione delle esche e dei vettori di attacco, con l’uso di temi legali, email realistiche, codici obfuscati, e un’attenzione alla resilienza contro i sistemi di detection. CERT-UA ha evidenziato connessioni parziali con Gamaredon, soprattutto nella scelta dei target e nell’infrastruttura, pur mantenendo differenze operative che suggeriscono una divisione autonoma o collaborazione limitata. Il gruppo ha compromesso infrastrutture critiche, raccolto dati riservati e venduto credenziali sottratte nei mercati underground. CERT-UA collabora con partner NATO per monitorare la minaccia, che rientra in uno scenario di guerra ibrida e pressione cibernetica continua. Gli impatti si estendono a livello economico, legale e geopolitico.
Indicatori di compromissione e rilevamento
CERT-UA ha pubblicato IOC dettagliati per favorire il rilevamento precoce delle infezioni. Tra gli indicatori principali figurano:
Hash di file HTA malevoli, pattern obfuscati negli script VBS, nomi anomali nelle task pianificate, directory di sistema contenenti tracce del loader MATCHBOIL, traffico PowerShell sospetto generato da MATCHWOK e file system access da parte di DRAGSTARE, incluso l’accesso a cartelle utente e la cattura di screenshot a intervalli regolari.
Ulteriori indicatori includono IP di server C2, domini di download e link abbreviati tracciabili. Le email phishing da UKR.NET con subject legale sono un segnale di rischio, così come modelli di comportamento anomalo tracciabili tramite strumenti EDR, SIEM e antivirus dotati di funzionalità euristiche.
CERT-UA consiglia di aggiornare regolarmente le liste IOC, abilitare logging dettagliato, correlare eventi di sistema per individuare le catene di attacco e implementare una strategia proattiva di threat hunting.
Raccomandazioni per mitigazione e prevenzione
Per mitigare gli effetti delle campagne UAC-0099, CERT-UA raccomanda una serie coordinata di misure difensive. In primo luogo, è fondamentale bloccare l’esecuzione di file HTA tramite policy di gruppo o whitelist di estensioni consentite. L’abilitazione della MFA su tutti gli account privilegiati, il monitoraggio costante di PowerShell, l’utilizzo di EDR per rilevamento comportamentale e l’applicazione di patch regolari a software vulnerabili sono elementi essenziali. Organizzazioni devono educare lo staff al riconoscimento di email legali sospette, limitare il movimento laterale tramite segmentazione di rete, e attuare strategie zero-trust per l’accesso alle risorse. CERT-UA suggerisce inoltre il backup regolare dei dati in location offsite, la raccolta di log a lungo termine e la collaborazione con autorità nazionali per la condivisione di intelligence. L’approccio consigliato da CERT-UA è dinamico e aggiornabile, con linee guida pubblicate regolarmente in risposta all’evoluzione delle campagne. Ogni segnale d’allarme — dai nomi dei file ai comandi PowerShell — può contribuire a identificare una compromissione in atto.
Dettaglio tecnico: struttura di un file HTA malevolo
I file HTA usati da UAC-0099 presentano una struttura HTML con tag che eseguono VBS offuscato, spesso codificato in ASCII per eludere i controlli statici. Alla loro apertura, il sistema attiva mshta.exe, che interpreta il contenuto e avvia una scheduled task con comandi PowerShell integrati. La task scarica ed esegue MATCHBOIL, che a sua volta utilizza reflection in C# per caricare dinamicamente librerie, aggirando la rilevazione statica. MATCHWOK stabilisce una connessione con il server C2 su socket TCP e riceve comandi remoti in tempo reale. DRAGSTARE esegue il furto di dati mediante funzioni .NET come Directory.EnumerateFiles, Graphics.CopyFromScreen per screenshot, compressione con ZipArchive e esfiltrazione tramite HTTP POST. La crittografia AES protegge i dati durante il trasferimento, complicando ulteriormente le analisi forensi.
