Các thực thể quân sự Ukraine là mục tiêu của một chiến dịch lừa đảo tận dụng hướng dẫn sử dụng máy bay không người lái làm mồi nhử để cung cấp bộ công cụ hậu khai thác mã nguồn mở dựa trên Go có tên Merlin.
"Kể từ khi máy bay không người lái hoặc máy bay không người lái (UAV) là một công cụ không thể thiếu được quân đội Ukraine sử dụng, các tệp mồi nhử có chứa phần mềm độc hại theo chủ đề hướng dẫn sử dụng dịch vụ UAV đã bắt đầu xuất hiện", các nhà nghiên cứu Securonix Den Iuzvyk, Tim Peck và Oleg Kolesnikov cho biết trong một báo cáo được chia sẻ với The Hacker News.
Công ty an ninh mạng đang theo dõi chiến dịch dưới tên STARK # VORTEX.
Điểm khởi đầu của cuộc tấn công là một tệp Trợ giúp HTML được biên dịch của Microsoft (CHM), khi được mở, chạy JavaScript độc hại được nhúng bên trong một trong các trang HTML để thực thi mã PowerShell được thiết kế để liên hệ với máy chủ từ xa để tìm nạp tệp nhị phân bị xáo trộn.
Tải trọng dựa trên Windows được giải mã để trích xuất Tác nhân Merlin, do đó, được cấu hình để giao tiếp với máy chủ chỉ huy và kiểm soát (C2) cho các hành động sau khai thác, nắm quyền kiểm soát hiệu quả đối với máy chủ.
"Trong khi chuỗi tấn công khá đơn giản, những kẻ tấn công đã tận dụng một số TTP và phương pháp xáo trộn khá phức tạp để tránh bị phát hiện", các nhà nghiên cứu cho biết.
Đây là lần đầu tiên các tổ chức chính phủ Ukraine bị nhắm mục tiêu sử dụng Merlin. Vào đầu tháng 8 năm 2023, Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) đã tiết lộ một chuỗi tấn công tương tự sử dụng các tệp CHM làm mồi nhử để lây nhiễm các máy tính bằng công cụ nguồn mở.
CERT-UA cho rằng các vụ xâm nhập là do một tác nhân đe dọa mà họ giám sát dưới tên UAC-0154.
"Các tập tin và tài liệu được sử dụng trong chuỗi tấn công rất có khả năng vượt qua hệ thống phòng thủ", các nhà nghiên cứu giải thích.
"Thông thường, việc nhận được tệp trợ giúp của Microsoft qua internet sẽ được coi là bất thường. Tuy nhiên, những kẻ tấn công đã đóng khung các tài liệu dụ dỗ để xuất hiện như một thứ mà một nạn nhân không nghi ngờ có thể mong đợi xuất hiện trong một tài liệu hoặc tệp theo chủ đề trợ giúp.
Sự phát triển này diễn ra vài tuần sau khi CERT-UA cho biết họ đã phát hiện một cuộc tấn công mạng không thành công nhằm vào một cơ sở hạ tầng năng lượng quan trọng giấu tên ở nước này do phi hành đoàn do nhà nước Nga tài trợ có tên APT28 thực hiện.