Il Computer Emergency Response Team dell'Ucraina (CERT-UA) ha recentemente scoperto una nuova campagna di email malevole rivolta a enti governativi, aziende e organizzazioni militari. Queste email sfruttano l'attrattiva di integrare servizi popolari come Amazon o Microsoft, implementando un'architettura di fiducia zero. Le email contengono allegati sotto forma di file di configurazione del Remote Desktop Protocol (.rdp). Una volta eseguiti, questi file stabiliscono una connessione con un server remoto, consentendo agli attaccanti di accedere ai sistemi compromessi, rubare dati e installare malware aggiuntivo per attacchi successivi.

UAC-0215 e APT29

CERT-UA ha attribuito questa campagna a un attore di minacce identificato come UAC-0215. Amazon Web Services (AWS) ha collegato questa attività al gruppo di hacker russi noto come APT29. Alcuni nomi di dominio utilizzati dagli attaccanti tentano di ingannare le vittime facendole credere che si tratti di domini AWS, ma non è così. L'obiettivo non era ottenere le credenziali dei clienti AWS, ma piuttosto le credenziali Windows delle vittime tramite Microsoft Remote Desktop. Amazon ha sequestrato i domini usati dagli avversari per impersonare AWS, neutralizzando così l'operazione.

UAC-0218 e HOMESTEEL

Parallelamente, CERT-UA ha avvertito di un attacco informatico su larga scala mirato a rubare informazioni riservate agli utenti ucraini, catalogato come UAC-0218. L'attacco inizia con un'email di phishing contenente un link a un archivio RAR trappola, che finge di essere fatture o dettagli di pagamento. All'interno dell'archivio si trova un malware basato su script Visual Basic, denominato HOMESTEEL, progettato per esfiltrare file con estensioni specifiche a un server controllato dagli attaccanti. In questo modo, i criminali possono accedere a dati personali, finanziari e altri dati sensibili, utilizzandoli per ricatti o furti.

Campagna ClickFix

Inoltre, CERT-UA ha segnalato una campagna in stile ClickFix, progettata per ingannare gli utenti inducendoli a cliccare su link malevoli incorporati nei messaggi email. Questi link scaricano uno script PowerShell in grado di stabilire un tunnel SSH, rubare dati dai browser web e scaricare e avviare il framework di penetrazione Metasploit. Gli utenti che cliccano sul link vengono indirizzati a una falsa pagina di verifica reCAPTCHA, che li induce a eseguire lo script malevole. CERT-UA ha una "media fiducia" che questa campagna sia opera di un altro attore di minacce persistenti avanzate russo noto come APT28 (alias UAC-0001).

Questi attacchi informatici contro l'Ucraina avvengono in un contesto di tensioni crescenti, con rapporti che indicano come l'agenzia di intelligence militare russa e il Servizio di Sicurezza Federale (FSB) abbiano sistematicamente preso di mira l'infrastruttura della Georgia tra il 2017 e il 2020.