El actor de amenazas conocido como UAC-0099 ha sido vinculado a continuos
ataques dirigidos a Ucrania, algunos de los cuales aprovechan una falla de
alta gravedad en el software WinRAR para entregar el malware denominado LONEPAGE.
«El actor de amenazas apunta a empleados ucranianos que trabajan para
empresas fuera de Ucrania»,
dijo la firma de ciberseguridad Deep Instinct en un análisis.
UAC-0099
fue documentado por primera vez
por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en
junio de 2023, detallando sus ataques contra organizaciones estatales y
entidades de medios por motivos de espionaje.
Las cadenas de ataque aprovecharon mensajes de phishing que contenían archivos
adjuntos HTA, RAR y LNK que llevaron a la implementación de
LONEPAGE, un malware de Visual Basic Script (VBS) que es capaz de contactar a un
servidor de comando y control (C2) para recuperar cargas adicionales como como
registradores de pulsaciones de teclas, ladrones y malware de capturas de
pantalla.
«Durante 2022-2023, el grupo mencionado recibió acceso remoto no autorizado
a varias docenas de computadoras en Ucrania», dijo CERT-UA en ese momento.
El último análisis de Deep Instinct revela que el uso de archivos adjuntos HTA
es solo una de tres cadenas de infección diferentes, las otras dos aprovechan
archivos autoextraíbles (SFX) y archivos ZIP con trampas explosivas. Los
archivos ZIP aprovechan la
vulnerabilidad WinRAR
(CVE-2023-38831, puntuación CVSS: 7,8) para distribuir LONEPAGE.
En el primero, el archivo SFX alberga un acceso directo LNK que está
disfrazado de un archivo DOCX para una citación judicial mientras usa el ícono
de Microsoft WordPad para incitar a la víctima a abrirlo, lo que resulta en la
ejecución de código PowerShell malicioso que elimina el malware LONEPAGE.
La otra secuencia de ataque utiliza un archivo ZIP especialmente diseñado que
es susceptible a CVE-2023-38831, y Deep Instinct encontró dos de esos
artefactos creados por UAC-0099 el 5 de agosto de 2023, tres días después de
que los mantenedores de
WinRAR lanzaran un parche
para el error.
«Las tácticas utilizadas por ‘UAC-0099’ son simples pero efectivas»,
dijo la compañía.
«A pesar de los diferentes vectores de infección inicial, la infección
principal es la misma: dependen de PowerShell y de la creación de una tarea
programada que ejecuta un archivo VBS».
El desarrollo se produce cuando
CERT-UA advirtió
sobre una nueva ola de mensajes de phishing que pretenden ser cuotas
pendientes de Kyivstar para propagar un troyano de acceso remoto conocido como
Remcos RAT. La agencia atribuyó la campaña a
UAC-0050.
Fuente:
THN
Los comentarios están cerrados.