El Grupo de Inteligencia de Amenazas Ucrania UAC-0099 ha desarrollado significativamente sus capacidades de guerra cibernética, desplegando un nuevo conjunto de herramientas de malware sofisticado dirigido a las autoridades estatales, las fuerzas de defensa y las empresas industriales de defensa ucranianas.
El equipo nacional de respuesta a incidentes cibernéticos CERT-UA ha documentado una serie de ataques coordinados que emplean archivos HTA (aplicación HTML) como el mecanismo de entrega principal para el malware del cargador de combate recientemente identificado.
Estos ataques comienzan con correos electrónicos de phishing cuidadosamente diseñados, enviados predominantemente desde las direcciones de UKR.NET, disfrazándose de citación oficial de la corte.
Ejemplo de un correo electrónico y un archivo señuelo (fuente-cert-UA)
Los correos electrónicos contienen enlaces a servicios legítimos de intercambio de archivos, incluidas las URL acortadas, que redirigen a las víctimas para descargar archivos de doble arquitación que contienen componentes HTA maliciosos.
Este enfoque de ingeniería social explota la legitimidad percibida de la documentación legal para evitar la sospecha inicial del usuario.
Analistas CERT-UA identificado que los archivos HTA contienen VBScript muy ofuscado diseñado para establecer múltiples mecanismos de persistencia en sistemas comprometidos.
Tras la ejecución, el script malicioso crea varios archivos críticos que incluyen “documenttemp.txt” que contiene datos codificados con HEX, “temporalDoc.txt” con el código PowerShell, y establece una tarea programada llamada “PDFOPENTASK” para el acceso sostenido del sistema.
Los actores de amenaza han desarrollado un ecosistema de malware de múltiples componentes que consta de tres herramientas principales: Matchboil sirve como el cargador inicial, MatchWok funciona como una puerta trasera para la ejecución de comandos remotos, y Dragstare funciona como un robador de datos integral.
Esta trinidad de software malicioso demuestra el avance del grupo de campañas anteriores y sugiere un cambio hacia operaciones de ataque más persistentes y de varias etapas.
Mecanismo de infección y arquitectura de persistencia
El cargador MatchBoil, desarrollado en C#, implementa un sofisticado proceso de implementación de múltiples etapas que garantiza un compromiso persistente del sistema.
Contenido de archivo HTA y código VBScript decodificado (fuente-CERT-UA)
La ejecución inicial del archivo HTA desencadena la creación de la tarea programada “PDFOPENTASK” usando el comando:-
schtasks.exe /create /tn pdfopentask /tr “powershell.exe -windowstyle oculto -executionPolicy bypass -noprofile -c invoke -expression (get -content ‘%tmp%\ temporydoc.txt’ -rw)” /sc una vez /st 12:02 /f
Esta tarea convierte los datos codificados con hexadecimas en bytes ejecutables, los escribe a “%público%\ downloads \ animalUpdate.txt”, luego mueve el archivo a “animalupdate.exe” al establecer otra tarea programada “\ animalesoft \ updateAnimalSoftware” para su ejecución.
Posteriormente, el cargador reúne datos de huellas dactilares del sistema que incluyen identificadores de hardware de CPU, números de serie BIOS y direcciones MAC, transmitiendo esta información a través de los encabezados HTTP a servidores de comando y control alojados en dominios como Egyptanimals (.) Com y Geostat (.) Lat.
Equipe su SOC con el acceso completo a los últimos datos de amenazas de cualquiera. Obtenga una prueba gratuita de 14 días
