Categorie
Sicurezza Informatica

UAC-0099 usa vulnerabilità WinRAR per attaccare in Ucraina

WinRar
WinRar
Tempo di lettura: 2 minuti.

Il gruppo di minacce informatiche noto come UAC-0099 continua a condurre attacchi mirati all’Ucraina, sfruttando una grave vulnerabilità nel software WinRAR per distribuire un malware chiamato LONEPAGE.

Dettagli dell’Attacco

  • Obiettivi: UAC-0099 mira a dipendenti ucraini che lavorano per aziende al di fuori dell’Ucraina.
  • Storia: UAC-0099 è stato documentato per la prima volta dal Computer Emergency Response Team dell’Ucraina (CERT-UA) nel giugno 2023, dettagliando i suoi attacchi contro organizzazioni statali e enti mediatici per motivi di spionaggio.
  • Metodi di Attacco: Le catene di attacco sfruttano messaggi di phishing contenenti allegati HTA, RAR e LNK che portano al dispiegamento di LONEPAGE, un malware Visual Basic Script (VBS) in grado di contattare un server di comando e controllo (C2) per recuperare payload aggiuntivi come keylogger, stealer e malware per screenshot.

Uso della Vulnerabilità di WinRAR

  • Vulnerabilità Sfruttata: La vulnerabilità di WinRAR sfruttata (CVE-2023-38831, punteggio CVSS: 7.8) viene utilizzata per distribuire LONEPAGE attraverso archivi autoestraenti (SFX) e file ZIP trappola.
  • Metodi Specifici: In un caso, il file SFX contiene un collegamento LNK travestito da file DOCX per una citazione in giudizio, usando l’icona di Microsoft WordPad per attirare la vittima ad aprirlo, risultando nell’esecuzione di codice PowerShell dannoso che rilascia il malware LONEPAGE. Un altro metodo sfrutta un archivio ZIP appositamente creato vulnerabile a CVE-2023-38831.

Tattiche e Tecniche

  • Semplicità ed Efficacia: Le tattiche usate da UAC-0099 sono semplici ma efficaci. Nonostante i diversi vettori di infezione iniziali, l’infezione principale rimane la stessa: si affidano a PowerShell e alla creazione di un compito pianificato che esegue un file VBS.

Altre Campagne di Phishing

  • Avvertimenti da CERT-UA: CERT-UA ha avvertito di una nuova ondata di messaggi di phishing che fingono di essere debiti in sospeso di Kyivstar per diffondere un trojan di accesso remoto noto come Remcos RAT. La campagna è attribuita a UAC-0050.

Conclusione

Gli attacchi di UAC-0099 contro l’Ucraina sottolineano la continua minaccia di gruppi di hacker sofisticati che sfruttano vulnerabilità note per condurre operazioni di spionaggio e furto di dati.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version