Operazione di Spionaggio mira gli Enti Statali dell’Ucraina
Il CERT-UA dell’Ucraina ha recentemente segnalato una serie di attacchi informatici che hanno preso di mira gli enti statali del Paese. Questa offensiva, che è considerata parte di un’operazione di spionaggio, è stata attribuita a un attore di minaccia identificato come UAC-0063 dal 2021. L’attore sfrutta esche di phishing per distribuire una varietà di strumenti maligni sui sistemi infetti. Al momento, le origini del gruppo di hacking sono sconosciute.
Catena di attacco e strumenti maligni utilizzati
Nella catena di attacco descritta dall’agenzia, le email miravano a un ministero non specificato e affermavano di provenire dall’Ambasciata del Tajikistan in Ucraina. Si sospetta che i messaggi siano stati inviati da una casella di posta precedentemente compromessa.
Le email erano accompagnate da un documento Microsoft Word che, una volta abilitate le macro, avviava uno script VBScript codificato chiamato HATVIBE, utilizzato per diffondere ulteriore malware. Questo includeva un keylogger (LOGPIE), un backdoor basato su Python in grado di eseguire comandi inviati da un server remoto (CHERRYSPY), e uno strumento focalizzato sull’esfiltrazione di file con specifiche estensioni (STILLARCH o DownEx).
Adattamenti e nuove tecniche di attacco
La ricerca ha mostrato che alcuni attori di minaccia stanno ancora utilizzando malware basato su macro, nonostante Microsoft abbia disabilitato la funzione per impostazione predefinita nei file di Office scaricati dal web. Tuttavia, le restrizioni di Microsoft hanno spinto diversi gruppi di attacco a sperimentare e adattare le loro catene di attacco e i meccanismi di consegna del payload per includere tipi di file meno comuni (CHM, ISO, LNK, VHD, XLL e WSF) e tecniche come lo smuggling HTML.
La società di sicurezza aziendale Proofpoint ha osservato che diversi broker di accesso iniziale (IAB) – attori che infiltrano obiettivi importanti e poi vendono tale accesso ad altri criminali informatici per profitto – hanno iniziato ad utilizzare file PDF e OneNote a partire dal dicembre 2022.
“Gli attori di minaccia, in particolare gli IAB, stanno cambiando velocemente le tecniche di consegna del payload, creando un nuovo normale nell’attività di minaccia”, ha affermato l’azienda.
L’adattamento rapido e l’evoluzione continua delle tattiche, tecniche e procedure (TTP) suggeriscono che molti attori di minaccia hanno il tempo, la capacità e la comprensione del panorama delle minacce per sviluppare ed eseguire rapidamente nuove tecniche.