Le entità militari ucraine sono l’obiettivo di una campagna di phishing che utilizza manuali per droni come esca per consegnare un toolkit di post-sfruttamento open-source basato su Go chiamato Merlin. I ricercatori di Securonix, Den Iuzvyk, Tim Peck e Oleg Kolesnikov, hanno riferito che i file di esca, tematici come manuali di servizio per UAV (Unmanned Aerial Vehicles), sono iniziati a emergere, dato l’uso integrale degli UAV da parte dell’esercito ucraino.
Dettagli dell’Attacco
L’attacco inizia con un file CHM (Microsoft Compiled HTML Help) che, quando aperto, esegue JavaScript maligno incorporato in una delle pagine HTML per eseguire codice PowerShell progettato per contattare un server remoto e recuperare un binario offuscato. Il payload basato su Windows viene decodificato per estrarre l’Agente Merlin, che a sua volta è configurato per comunicare con un server di comando e controllo (C2) per azioni di post-sfruttamento, prendendo effettivamente il controllo dell’host.
Metodi di Evasione
Nonostante la semplicità della catena di attacco, gli aggressori hanno utilizzato metodi TTP complessi e metodi di offuscamento per evitare il rilevamento. Questa è la prima volta che le organizzazioni governative ucraine vengono prese di mira utilizzando Merlin. Il CERT-UA aveva precedentemente divulgato una catena di attacco simile che impiega file CHM come esche per infettare i computer con lo strumento open-source.
Attribuzione dell’Attacco
Il CERT-UA ha attribuito le intrusioni a un attore minaccioso che monitora sotto il nome UAC-0154. I file e i documenti utilizzati nella catena di attacco sono molto capaci di eludere le difese, rendendo l’attacco particolarmente insidioso.
Questo sviluppo arriva poche settimane dopo che il CERT-UA ha dichiarato di aver rilevato un attacco cibernetico non riuscito contro un’infrastruttura energetica critica nel paese, intrapreso dal gruppo sponsorizzato dallo stato russo chiamato APT28.