Las entidades militares ucranianas son el objetivo de una campaña de phishing que aprovecha los manuales de los drones como señuelo para entregar un conjunto de herramientas de posexplotación de código abierto basado en Go llamado Merlin.
«Dado que los drones o vehículos aéreos no tripulados (UAV) han sido una herramienta integral utilizada por el ejército ucraniano, han comenzado a aparecer archivos señuelo llenos de malware con el tema de manuales de servicio de UAV», dijeron en Securonix Den Iuzvyk, Tim Peck y Oleg Kolesnikov.
La empresa de ciberseguridad está siguiendo la campaña bajo el nombre STARK#VORTEX .
El punto de partida del ataque es un archivo de Ayuda HTML compilado (CHM) de Microsoft que, cuando se abre, ejecuta JavaScript malicioso incrustado dentro de una de las páginas HTML para ejecutar código PowerShell diseñado para contactar a un servidor remoto para recuperar un binario ofuscado.
La carga útil basada en Windows se decodifica para extraer el Merlin Agent, que, a su vez, está configurado para comunicarse con un servidor de comando y control (C2) para acciones posteriores a la explotación, tomando efectivamente el control sobre el host.
Escanee los rincones de sus activos web que otras herramientas pasan por alto, con rastreo avanzado y nuestro enfoque de escaneo interactivo + dinámico (IAST + DAST) combinado.
Conocer..
«Si bien la cadena de ataque es bastante simple, los atacantes aprovecharon algunos TTP y métodos de ofuscación bastante complejos para evadir la detección», dijeron los investigadores.
Esta es la primera vez que organizaciones gubernamentales ucranianas han sido atacadas utilizando Merlin. A principios de agosto de 2023, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) reveló una cadena de ataque similar que emplea archivos CHM como señuelos para infectar las computadoras con la herramienta de código abierto.
CERT-UA atribuyó las intrusiones a un actor de amenazas que monitorea con el nombre UAC-0154.
«Los archivos y documentos utilizados en la cadena de ataque son muy capaces de eludir las defensas», explicaron los investigadores.
«Normalmente, recibir un archivo de ayuda de Microsoft a través de Internet se consideraría inusual. Sin embargo, los atacantes enmarcaron los documentos señuelo para que aparecieran como algo que una víctima desprevenida podría esperar que apareciera en un documento o archivo con temas de ayuda».
El desarrollo llega semanas después de que CERT-UA dijera que detectó un ciberataque fallido contra una instalación de infraestructura energética crítica no identificada en el país realizado por el equipo patrocinado por el estado ruso llamado APT28.
Fuente: thehackernews
