Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
Ucraina sotto attacco: Phishing e malware sofisticati, allarme CERT-UA sui gruppi UAC-0099 e Gamaredon
L’agenzia nazionale CERT-UA ha recentemente lanciato un allarme riguardo una sofisticata campagna di attacchi informatici condotta dal gruppo UAC-0099, che prende di mira enti governativi, forze di difesa ed aziende del settore difesa in Ucraina. Il vettore di compromissione iniziale sfruttato dagli attaccanti è il phishing, veicolato tramite email ingannevoli che simulano convocazioni giudiziarie.
Queste email contengono link abbreviati attraverso servizi come Cuttly e provengono da indirizzi UKR.NET, conducendo a file doppiamente compressi contenenti un file HTA (HTML Application).
All’apertura, il file HTA esegue uno script Visual Basic offuscato che crea un’attività pianificata per mantenere la persistenza e avvia un loader chiamato MATCHBOIL, scritto in C#. Questo loader rilascia ulteriori minacce malware: MATCHWOK, un backdoor in grado di eseguire comandi PowerShell e inviare i risultati a server remoti, e DRAGSTARE, uno stealer progettato per raccogliere informazioni di sistema, dati dei browser, file sensibili come documenti Office o PDF da cartelle Desktop, Documenti e Download, screenshot e comandi PowerShell provenienti da server controllati dagli attaccanti.
Il gruppo UAC-0099 non è nuovo a queste attività: in passato aveva già sfruttato vulnerabilità di WinRAR (CVE-2023-38831), con un punteggio di gravità di 7.8, per diffondere il malware LONEPAGE. L’evoluzione delle tecniche di attacco mostra una crescente sofisticazione e un focus sullo spionaggio e la raccolta di dati sensibili.
Altre campagne collegate: Gamaredon
Parallelamente, altre campagne di spear phishing collegate al gruppo Gamaredon sono state rilevate nel 2024, caratterizzate dall’uso di archivi malevoli (RAR, ZIP, 7z) e tecniche di HTML smuggling. Gamaredon ha ampliato il proprio arsenale con nuovi strumenti malware, come PteroDespair per la ricognizione, PteroTickle per la diffusione tramite drive rimovibili, e PteroBox per il furto di file tramite Dropbox. Questi tool, spesso scritti in PowerShell o VBScript, sono pensati per garantire persistenza, movimenti laterali ed evasione dei sistemi di sicurezza.
Un elemento chiave di queste campagne è l’uso di infrastrutture di comando e controllo celate dietro servizi legittimi come Telegram, Telegraph, Codeberg e Cloudflare Tunnel, oltre a tecniche di fast-flux DNS per rendere più difficile il tracciamento delle operazioni malevole. Nonostante alcune limitazioni tecniche dei gruppi coinvolti, la continua innovazione, la frequenza delle campagne e la capacità di eludere i controlli rendono UAC-0099 e Gamaredon minacce persistenti e rilevanti per la sicurezza informatica nazionale e internazionale.