Las entidades militares ucranianas son el objetivo de una campaña de phishing que aprovecha los manuales de los drones como señuelo para entregar un conjunto de herramientas de posexplotación de código abierto basado en Go llamado Merlin.
El punto de partida del ataque es un archivo de Ayuda HTML compilado (CHM) de Microsoft que, cuando se abre, ejecuta JavaScript malicioso incrustado dentro de una de las páginas HTML para ejecutar código PowerShell diseñado para contactar a un servidor remoto para recuperar un binario ofuscado.
La carga útil basada en Windows se decodifica para extraer el Agente Merlin, que, a su vez, está configurado para comunicarse con un servidor de comando y control (C2) para acciones posteriores a la explotación, tomando efectivamente el control sobre el host.
Esta es la primera vez que organizaciones gubernamentales ucranianas han sido atacadas utilizando Merlin. A principios de agosto de 2023, el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) reveló una cadena de ataque similar que emplea archivos CHM como señuelos para infectar las computadoras con la herramienta de código abierto.
CERT-UA atribuyó las intrusiones a un actor de amenazas que monitorea con el nombre UAC-0154.
El desarrollo llega semanas después de que CERT-UA dijera que detectó un ciberataque fallido contra una instalación de infraestructura energética crítica no identificada en el país realizado por el equipo patrocinado por el estado ruso llamado APT28.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian