El actor de amenazas conocido como UAC-0099 se ha relacionado con continuos ataques dirigidos a Ucrania, algunos de los cuales aprovechan una falla de alta gravedad en el software WinRAR para generar una cepa de malware llamada LONEPAGE.
«El actor de amenazas apunta a empleados ucranianos que trabajan para empresas fuera de Ucrania», afirma la empresa de ciberseguridad Deep Instinct. dicho en un análisis del jueves.
UAC-0099 fue documentado por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en junio de 2023, detallando sus ataques contra organizaciones estatales y entidades de medios por motivos de espionaje.
Supere las amenazas impulsadas por la IA con confianza cero: seminario web para profesionales de la seguridad
Las medidas de seguridad tradicionales no son suficientes en el mundo actual. Es hora de adoptar la seguridad Zero Trust. Proteja sus datos como nunca antes.
Las cadenas de ataque aprovecharon mensajes de phishing que contenían archivos adjuntos HTA, RAR y LNK que llevaron a la implementación de PÁGINA ÚNICAun malware de Visual Basic Script (VBS) que es capaz de contactar con un servidor de comando y control (C2) para recuperar cargas útiles adicionales, como registradores de pulsaciones, ladrones y malware de capturas de pantalla.
«Durante 2022-2023, el grupo mencionado recibió acceso remoto no autorizado a varias docenas de computadoras en Ucrania», dijo CERT-UA en ese momento.
El último análisis de Deep Instinct revela que el uso de archivos adjuntos HTA es solo una de tres infecciones diferentes, las otras dos aprovechan archivos autoextraíbles (SFX) y archivos ZIP con trampas, que explotan la vulnerabilidad WinRAR (CVE-2023). -38831, puntuación CVSS: 7,8) para distribuir LONEPAGE.
En el primero, el archivo SFX alberga un acceso directo LNK que está disfrazado de un archivo DOCX para una citación judicial mientras usa el ícono de Microsoft WordPad para incitar a la víctima a abrirlo, lo que resulta en la ejecución de código PowerShell malicioso que elimina el malware LONEPAGE.
La otra secuencia de ataque utiliza un archivo ZIP especialmente diseñado que es susceptible a CVE-2023-38831, y Deep Instinct encontró dos de esos artefactos creados por UAC-0099 el 5 de agosto de 2023, tres días después de que los mantenedores de WinRAR lanzaran un parche para el error.
«Las tácticas utilizadas por ‘UAC-0099’ son simples pero efectivas», dijo la compañía. «A pesar de los diferentes vectores de infección inicial, la infección principal es la misma: dependen de PowerShell y de la creación de una tarea programada que ejecuta un archivo VBS».
El desarrollo surge como CERT-UA. prevenido de una nueva ola de mensajes de phishing que supuestamente eran cuotas pendientes de Kyivstar para propagar un troyano de acceso remoto conocido como Remcos RAT. La agencia atribuyó la campaña a UAC-0050.