Les entités militaires ukrainiennes sont la cible d’une campagne de phishing qui exploite les manuels de drones comme leurres pour fournir une boîte à outils de post-exploitation open source basée sur Go appelée Merlin.
“Depuis que les drones ou les véhicules aériens sans pilote (UAV) font partie intégrante de l’outil utilisé par l’armée ukrainienne, des fichiers leurres contenant des logiciels malveillants ayant pour thème les manuels d’entretien des drones ont commencé à faire surface”, ont déclaré les chercheurs de Securonix Den Iuzvyk, Tim Peck et Oleg Kolesnikov dans un rapport partagé avec The Hacker News.
La société de cybersécurité suit la campagne sous le nom STARK#VORTEX.
Le point de départ de l’attaque est un fichier Microsoft Compiled HTML Help (CHM) qui, une fois ouvert, exécute du JavaScript malveillant intégré dans l’une des pages HTML pour exécuter du code PowerShell conçu pour contacter un serveur distant pour récupérer un binaire obscurci.
La charge utile basée sur Windows est décodée pour extraire l’agent Merlin, qui, à son tour, est configuré pour communiquer avec un serveur de commande et de contrôle (C2) pour les actions post-exploitation, prenant ainsi le contrôle de l’hôte.
“Bien que la chaîne d’attaque soit assez simple, les attaquants ont utilisé des TTP et des méthodes d’obscurcissement assez complexes pour échapper à la détection”, ont expliqué les chercheurs.
C’est la première fois que des organisations gouvernementales ukrainiennes sont ciblées par Merlin. Début août 2023, l’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA) a révélé une chaîne d’attaque similaire qui utilise des fichiers CHM comme leurres pour infecter les ordinateurs avec l’outil open source.
Le CERT-UA a attribué les intrusions à un acteur menaçant qu’il surveille sous le nom d’UAC-0154.
“Les fichiers et documents utilisés dans la chaîne d’attaque sont très capables de contourner les défenses”, expliquent les chercheurs.
“En règle générale, recevoir un fichier d’aide Microsoft sur Internet serait considéré comme inhabituel. Cependant, les attaquants ont présenté les documents leurres pour qu’ils apparaissent comme quelque chose qu’une victime sans méfiance pourrait s’attendre à voir apparaître dans un document ou un fichier sur le thème de l’aide.”
Ce développement intervient quelques semaines après que le CERT-UA a déclaré avoir détecté une cyber-attaque infructueuse contre une infrastructure énergétique critique sans nom dans le pays, entreprise par l’équipage parrainé par l’État russe appelé APT28.
