Sommario
Recentemente, le istituzioni ucraine sono state bersaglio di sofisticati attacchi informatici mirati che hanno utilizzato il malware HATVIBE e CHERRYSPY. Questi attacchi, attribuiti al gruppo di minaccia UAC-0063, evidenziano l’uso di tecniche avanzate per compromettere le infrastrutture critiche del paese.
Spear-Phishing e Malware HATVIBE e CHERRYSPY
Il Computer Emergency Response Team of Ukraine (CERT-UA) ha segnalato una campagna di spear-phishing che ha preso di mira un’istituzione scientifica ucraina. Gli attacchi sono stati condotti tramite l’invio di email phishing contenenti allegati Microsoft Word (DOCX) con macro dannose. Una volta aperti e abilitate le macro, viene eseguito un file HTML codificato (HTA) denominato HATVIBE, che stabilisce la persistenza sul sistema compromesso utilizzando un’attività pianificata.
Questo malware prepara il terreno per l’installazione di un backdoor basato su Python, noto come CHERRYSPY, capace di eseguire comandi impartiti da un server remoto. CERT-UA ha rilevato numerosi casi di infezioni da HATVIBE che sfruttano una vulnerabilità nota nel HTTP File Server (CVE-2024-23692) per ottenere l’accesso iniziale ai sistemi.
Connessioni a Gruppi di Minaccia Russi
Gli attacchi sono stati collegati a UAC-0063, un gruppo di minaccia associato con moderata fiducia a APT28, noto anche come Fancy Bear o GRU. APT28 è un gruppo di cyber spionaggio affiliato all’intelligence militare russa, noto per la sua attività contro vari governi e organizzazioni nel mondo.
Altri attacchi phishing
Oltre alla campagna HATVIBE, CERT-UA ha dettagliato un’altra campagna di phishing che prende di mira le imprese della difesa ucraine utilizzando file PDF trappola. Questi file contengono un link che, se cliccato, scarica un eseguibile chiamato GLUEEGG, il quale decripta e esegue un loader basato su Lua chiamato DROPCLUE. DROPCLUE apre un documento esca alla vittima mentre scarica segretamente un programma legittimo di Desktop Remoto chiamato Atera Agent utilizzando l’utility curl. Questo attacco è stato attribuito al cluster di minaccia UAC-0180.
Implicazioni e Misure di Sicurezza
Questi attacchi sottolineano la necessità di rafforzare le misure di sicurezza informatica, specialmente in contesti critici come quelli governativi e della difesa. Le istituzioni devono adottare pratiche di sicurezza avanzate, come l’uso di autenticazione a più fattori, il monitoraggio continuo delle reti e la formazione del personale per riconoscere tentativi di phishing.
