Il gruppo di minaccia noto come UAC-0050 sta impiegando attacchi di phishing per distribuire il Remcos RAT (Remote Access Trojan), utilizzando nuove strategie per evitare il rilevamento da parte del software di sicurezza.
Metodi Innovativi per Evasione della Sicurezza
Secondo i ricercatori di sicurezza di Uptycs, Karthick Kumar e Shilpesh Trivedi, il gruppo ha integrato un metodo di pipe per la comunicazione interprocesso, dimostrando la loro avanzata adattabilità. Il Remcos RAT è un malware noto per la sorveglianza e il controllo remoto, che è stato al centro dell’arsenale di spionaggio del gruppo.
Storia e Obiettivi del Gruppo UAC-0050
Attivo dal 2020, UAC-0050 ha una storia di attacchi mirati a entità ucraine e polacche attraverso campagne di ingegneria sociale che impersonano organizzazioni legittime per indurre i destinatari ad aprire allegati dannosi. Nel febbraio 2023, il Computer Emergency Response Team dell’Ucraina (CERT-UA) ha attribuito al nemico una campagna di phishing progettata per distribuire Remcos RAT.
- Analisi Tecnica e Tattiche di Attacco
L’analisi di Uptycs si basa su un file LNK scoperto il 21 dicembre 2023. Si sospetta che il vettore di accesso iniziale abbia coinvolto email di phishing mirate al personale militare ucraino, che pubblicizzavano ruoli di consulenza con le Forze di Difesa Israeliane (IDF).
Il file LNK in questione raccoglie informazioni sui prodotti antivirus installati sul computer di destinazione e poi procede a recuperare ed eseguire un’applicazione HTML denominata “6.hta” da un server remoto utilizzando mshta.exe, un binario nativo di Windows per l’esecuzione di file HTA.
Questo passaggio apre la strada a uno script PowerShell che estrae un altro script PowerShell per scaricare due file chiamati “word_update.exe” e “ofer.docx” dal dominio new-tech-savvy[.]com.
L’esecuzione di word_update.exe porta alla creazione di una copia di se stesso con il nome fmTask_dbg.exe e stabilisce la persistenza creando un collegamento al nuovo eseguibile nella cartella di avvio di Windows.
Il binario sviluppato da UAC-0050 impiega anche pipe senza nome per facilitare lo scambio di dati tra se stesso e un nuovo processo figlio per cmd.exe, al fine di decifrare e lanciare il Remcos RAT (versione 4.9.2 Pro), che è in grado di raccogliere dati di sistema, cookie e informazioni di login dai browser web come Internet Explorer, Mozilla Firefox e Google Chrome.
Conclusione e Implicazioni
“L’uso di pipe all’interno del sistema operativo Windows fornisce un canale nascosto per il trasferimento dei dati, eludendo abilmente il rilevamento da parte dei sistemi di Endpoint Detection and Response (EDR) e antivirus”, hanno affermato i ricercatori. “Sebbene non del tutto nuova, questa tecnica segna un significativo salto nella sofisticazione delle strategie del gruppo.”