Threat aktören UAC-0099 fortsätter att rikta #cyberattacker mot Ukraina. Lär dig hur de utnyttjar en brist i WinRAR för att leverera Lonepage.
Hotaktören UAC-0099 riktar sig mot ukrainska anställda som arbetar för företag utanför Ukraina,” sa cybersäkerhetsföretaget Deep Instinct i en analys på torsdagen.
CERT-UA, som arbetar under State Special Communications, upptäckte detta. UAC-0099 dokumenterades först av Ukrainas datanödlägesresponsgrupp (CERT_UA) i juni 2023, där man detaljerade dess attacker mot statliga organisationer och medieenheter i syfte att spionera.
Den ukrainska regeringens team för respons på datornödsituationer, CERT-UA, har sedan andra halvan av 2022 övervakat aktiviteter som riktas mot statliga organisationer och medierepresentanter (redaktörer) i Ukraina i syfte att spionera.
Enligt CERT-UA skickade APT28-gruppen mellan den 15 och 25 december e-postmeddelanden med länkar till ”dokument”. Så fort besökarna öppnade dem infekterade det deras datorer med skadlig programvara. Enligt tillgänglig information attackerades inte bara användare från Ukraina, utan även organisationer från Polen.
CERT-UA skriver att den aktuella aktiviteten är kopplad till den ryska APT28-gruppen när de ser på analysen av taktik, tekniker, procedurer och verktyg.
Avancerade phising attacker
Attackkedjorna utnyttjade nätfiske-meddelanden som innehöll infekterade filer som leder till implementeringen av LONEPAGE, ett skadeprogram i Visual Basic Script (VBS) som är kapabelt att kontakta en kommando-och-kontrollserver.
Oidentifierade personer sprider filer (.HTA, .EXE, .RAR, .LNK) via e-post och meddelandeapplikationer, vars öppnande leder till att offrets dator infekteras med skadeprogrammet LONEPAGE. Det nämnda programmet är ett PowerShell-skript (vanligtvis i form av en JavaScript- eller VBScript-fil) som laddar ner en TXT-fil (”upgrade.txt”) från en kontrollserver, utför PowerShell-kommandon som finns i filen och skickar resultaten till servern med hjälp av en HTTP POST-förfrågan.
Dessutom kan skadeprogram som ”THUMBCHOP” (en stöldprogramvara för Chrome och Opera), ”CLOGFLAG” (en keylogger), samt TOR och SSH för att skapa en dold tjänst och/eller upprätta en omvänd anslutning laddas ner på den infekterade datorn, därmed möjliggör interaktiv obehörig fjärråtkomst till datorn. Vid incidentrespons upptäcktes också skadeprogram utvecklade med programmeringsspråket Go, nämligen: SEAGLOW och OVERJAM.”
Läs mer från Hackernews