L’acteur menaçant connu sous le nom de UAC-0099 a été lié à des attaques continues visant l’Ukraine, dont certaines exploitent une faille de haute gravité dans le logiciel WinRAR pour diffuser une souche de malware appelée LONEPAGE.
« L’acteur malveillant cible les employés ukrainiens travaillant pour des entreprises en dehors de l’Ukraine », a déclaré la société de cybersécurité Deep Instinct. dit dans une analyse de jeudi.
L’UAC-0099 a été documenté pour la première fois par l’équipe d’intervention d’urgence informatique d’Ukraine (CERT-UA) en juin 2023, détaillant ses attaques contre des organisations étatiques et des entités médiatiques pour des motifs d’espionnage.
Battez les menaces basées sur l’IA avec Zero Trust – Webinaire pour les professionnels de la sécurité
Les mesures de sécurité traditionnelles ne suffiront pas dans le monde d’aujourd’hui. L’heure est à la sécurité Zero Trust. Sécurisez vos données comme jamais auparavant.
Les chaînes d’attaque ont exploité des messages de phishing contenant des pièces jointes HTA, RAR et LNK qui ont conduit au déploiement de PAGE LONEPAGEun malware Visual Basic Script (VBS) capable de contacter un serveur de commande et de contrôle (C2) pour récupérer des charges utiles supplémentaires telles que des enregistreurs de frappe, des voleurs et des logiciels malveillants de capture d’écran.
« Au cours de la période 2022-2023, le groupe mentionné a reçu un accès à distance non autorisé à plusieurs dizaines d’ordinateurs en Ukraine », avait alors déclaré le CERT-UA.
La dernière analyse de Deep Instinct révèle que l’utilisation de pièces jointes HTA n’est que l’une des trois infections différentes, les deux autres exploitant des archives auto-extractibles (SFX) et des fichiers ZIP piégés, qui exploitent la vulnérabilité WinRAR (CVE-2023). -38831, score CVSS : 7,8) pour distribuer LONEPAGE.
Dans le premier cas, le fichier SFX héberge un raccourci LNK déguisé en fichier DOCX pour une convocation au tribunal tout en utilisant l’icône de Microsoft WordPad pour inciter la victime à l’ouvrir, ce qui entraîne l’exécution d’un code PowerShell malveillant qui supprime le malware LONEPAGE.
L’autre séquence d’attaque utilise une archive ZIP spécialement conçue et sensible au CVE-2023-38831, Deep Instinct trouvant deux de ces artefacts créés par UAC-0099 le 5 août 2023, trois jours après que les responsables de WinRAR ont publié un correctif pour le bogue.
« Les tactiques utilisées par ‘UAC-0099’ sont simples, mais efficaces », a indiqué la société. « Malgré les différents vecteurs d’infection initiaux, l’infection principale est la même : ils s’appuient sur PowerShell et la création d’une tâche planifiée qui exécute un fichier VBS. »
Le développement intervient sous le nom de CERT-UA averti d’une nouvelle vague de messages de phishing prétendant être exceptionnels, Kyivstar étant censé propager un cheval de Troie d’accès à distance connu sous le nom de Remcos RAT. L’agence a attribué la campagne à l’UAC-0050.