Il CERT-UA (Computer Emergency Response Team dell’Ucraina) ha recentemente lanciato un’allerta riguardante un’ampia infezione di malware in Ucraina, che ha colpito più di 2.000 computer. Il malware in questione, noto come DirtyMoe, è attivo dal 2016 e ha la capacità di eseguire attacchi di cryptojacking e di negazione del servizio distribuita (DDoS). Questo tipo di malware si propaga in modo simile a un worm, sfruttando vulnerabilità di sicurezza note per diffondersi.
DirtyMoe viene distribuito tramite un altro malware denominato Purple Fox o tramite pacchetti di installazione MSI falsificati per software popolari come Telegram. Purple Fox include un rootkit che consente agli attori minacciosi di nascondere il malware sul dispositivo e rendere difficile la sua individuazione e rimozione.
L’accesso iniziale utilizzato nella campagna mirata contro l‘Ucraina non è ancora noto. Il CERT-UA raccomanda alle organizzazioni di mantenere i loro sistemi aggiornati, implementare la segmentazione della rete e monitorare il traffico di rete per qualsiasi attività anomala.
Questa rivelazione arriva nel contesto di una campagna di phishing in corso, nota come STEADY#URSA, che prende di mira il personale militare ucraino con l’obiettivo di distribuire un backdoor PowerShell personalizzato chiamato SUBTLE-PAWS. Questa catena di sfruttamento coinvolge l’esecuzione di un file di scelta rapida maligno (.lnk) che carica ed esegue nuovi codici payload backdoor di PowerShell, consentendo una persistenza avanzata sull’host e l’uso della piattaforma di blogging di Telegram, Telegraph, per recuperare le informazioni di comando e controllo (C2).
L’attacco è correlato a un attore di minaccia noto come Shuckworm, attivo dal 2013 e ritenuto parte del Servizio Federale di Sicurezza (FSB) della Russia. La capacità di Shuckworm di diffondersi tramite unità USB è stata documentata anche da Check Point nel novembre 2023.
Queste tecniche avanzate utilizzate da DirtyMoe e dalle backdoor correlate sottolineano la necessità di approcci di sicurezza robusti e proattivi per proteggere contro queste minacce in evoluzione.