Il Computer Emergency Response Team d'Ucraina (CERT-UA) ha recentemente allertato riguardo a una nuova serie di attacchi informatici mirati alle aziende di difesa nel paese, nonché alle sue forze di sicurezza e difesa. Questi attacchi di phishing sono stati attribuiti a un gruppo di minacce legato alla Russia noto come UAC-0185, attivo almeno dal 2022. Gli attacchi sfruttano e-mail di phishing che imitano comunicazioni ufficiali provenienti dalla Lega degli Industriali e Imprenditori Ucraini, promuovendo una conferenza tenutasi il 5 dicembre a Kyiv. Questa conferenza è stata presentata come un evento per allineare i prodotti delle aziende della difesa ucraina agli standard NATO.

Le e-mail contenevano un URL malevolo che invitava i destinatari a cliccare per visualizzare "informazioni importanti" relative alla loro partecipazione alla conferenza. In realtà, cliccando sul link, si scarica un file di collegamento per Windows progettato per eseguire un'applicazione HTML. Questa, a sua volta, contiene codice JavaScript responsabile dell'esecuzione di comandi PowerShell capaci di caricare payload successivi. Tra questi, vi sono un file esca e un archivio ZIP contenente uno script batch, un'altra applicazione HTML e un file eseguibile.

Il processo culmina con l'esecuzione di uno script batch che avvia il file dell'applicazione HTML, il quale esegue poi il binario MeshAgent sull'host. Questo concede agli attaccanti il controllo remoto sul sistema compromesso. CERT-UA ha sottolineato che questo gruppo di minacce si concentra principalmente nel rubare credenziali associate ad app di messaggistica come Signal, Telegram e WhatsApp, oltre che a sistemi militari ucraini come DELTA, Teneta e Kropyva. Gli hacker hanno inoltre lanciato diversi attacchi informatici per ottenere accessi non autorizzati ai PC dei lavoratori delle aziende di difesa e dei rappresentanti delle forze di sicurezza e difesa.

Secondo Mandiant, azienda di sicurezza di proprietà di Google che ha esposto UNC4221 alla conferenza LABScon di SentinelLabs, il gruppo di minacce è noto per raccogliere dati rilevanti per il campo di battaglia attraverso l'uso di malware per Android, operazioni di phishing travestite da applicazioni militari ucraine e operazioni mirate su piattaforme di messaggistica popolari come Telegram e WhatsApp.