UAC-0099 Sfrutta Vulnerabilità WinRAR per Attaccare Aziende Ucraine con Malware LONEPAGE
Il gruppo noto come UAC-0099 è al centro di attacchi mirati che hanno preso di mira l’Ucraina, sfruttando una grave vulnerabilità nel software WinRAR per diffondere il malware noto come LONEPAGE.
Deep Instinct, una società di sicurezza informatica, ha rivelato che UAC-0099 prende di mira specifici dipendenti ucraini che lavorano per aziende al di fuori del paese. Tale scoperta è stata evidenziata da CERT-UA, il team di risposta agli incidenti informatici dell’Ucraina, già nel giugno 2023, identificando gli attacchi rivolti a enti statali e organizzazioni mediatiche per motivi di spionaggio.
Gli attacchi di UAC-0099 utilizzano messaggi di phishing contenenti file HTA, RAR e LNK come esche, portando alla distribuzione del malware LONEPAGE, un pericoloso script Visual Basic (VBS) in grado di contattare server di comando e controllo (C2) per recuperare ulteriori carichi dannosi, tra cui keylogger, stealer e malware per gli screenshot.
Secondo CERT-UA, durante il periodo 2022-2023, questo gruppo è riuscito ad ottenere accesso remoto non autorizzato a diversi computer in Ucraina.
L’analisi più recente di Deep Instinct ha rivelato che UAC-0099 non si limita all’uso di allegati HTA: sfrutta anche archivi autoestraenti (SFX) e file ZIP trappola, sfruttando una vulnerabilità di WinRAR (CVE-2023-38831, punteggio CVSS: 7.8) per distribuire il malware LONEPAGE.
L’approccio utilizzato da UAC-0099, nonostante la varietà dei vettori di attacco iniziali, si basa principalmente su PowerShell e sulla creazione di attività pianificate per eseguire file VBS, dimostrando semplicità ed efficacia nelle azioni.
Quest’ultimo avvertimento giunge mentre CERT-UA ha segnalato una nuova ondata di phishing che si presenta come richieste di pagamento di Kyivstar, diffondendo un trojan di accesso remoto chiamato Remcos RAT. Questa campagna è stata attribuita a UAC-0050.