Manuais de drone utilizados por cibercriminosos para distribuir malware MerlinAgent

A Securonix Threat Research descobriu um novo ciberataque, designado STARK#VORTEX, que aparenta ser da autoria do grupo UAC-0154. A campanha utiliza manuais de drone para atrair os alvos, visando especificamente os militares da Ucrânia, e distribuir o malware MerlinAgent.

Os drones têm desempenhado um papel fundamental nas operações militares da Ucrânia, sendo, por isso, atraentes para intervenientes maliciosos. Os cibercriminosos do grupo UAC-0154 utilizavam inicialmente documentos com temas militares enviados por e-mail para alvos ucranianos em @ukr.net. A equipa de investigação detetou recentemente a evolução da tática dos invasores, utilizando uma abordagem inovadora.

De acordo com a Securonix, a utilização de ficheiros e documentos que poderiam facilmente contornar as defesas sublinha a necessidade de vigilância. Os investigadores destacam que os atacantes utilizam táticas complexas e métodos de ofuscação para fugir à deteção nas várias fases do ciberataque.

Os detalhes do ciberataque são os seguintes:

• Arquivo de atração: o arquivo malicioso é disfarçado com um arquivo de Ajuda da Microsoft, conhecido como .chm, com o título de “informações sobre o treino de UAV para os militares”. Ao abrir o documento, o utilizador ativa um código JavaScript malicioso nele incorporado.
• PowerShell ofuscado: o código JavaScript dentro do arquivo .chm comunica com um servidor remoto de comando e controlo (C2) para fazer download de uma carga binária ofuscada.
• Ativação de carga útil: esta carga útil, após ser decodificada, torna-se uma carga útil de beacon para o malware MerlinAgent, estabelecendo comunicação com o servidor C2 e concedendo acesso e controlo aos cibercriminosos.
• Execução inicial de código: os arquivos de Ajuda da Microsoft podem executados em sistemas Windows modernos, apesar de serem um formato mais antigo. Neste caso, o arquivo .chm deu início ao processo do PowerShell, evitando as deteções de antivírus e EDR.
• Arquivo de Ajuda e execução de JavaScript: estes arquivos funcionaram como containers. Uma análise do seu conteúdo revelou código JavaScript ofuscado que executou um outro script PowerShell ofuscado.
• Execução do PowerShell: o código do PowerShell assentava em várias camadas de ofuscação, como codificação Base64, compactação GZIP e substituições de caracteres. Este fez download da carga de um URL específico, desofuscou-a e guardou-a localmente.
• Análise de arquivo binário: após o download do binário, com aproximadamente 5 MB de tamanho, este acabou por ser um executável de 64 bits associado à estrutura do malware MerlinAgent. Esta estrutura, que é baseada em C2 de código aberto disponível no GitHub, oferece uma variedade de recursos, como comunicação C2 criptografada, shells de comando remoto e suporte a módulos.
• C2 e infraestrutura: os cibercriminosos estabeleceram comunicação criptografada com servidores C2 através do port 443, o que dificultou ainda mais a deteção. 

Para mitigar os riscos de ciberataques, a Securonix recomenda evitar o download de arquivos de fontes não confiáveis; monitorizar diretórios específicos de atividades suspeitas; implementar soluções de registo aperfeiçoadas para fortalecer a deteção.