Seguir 
El phishing sigue siendo una de las tácticas más efectivas en el manual de los ciberdelincuentes, particularmente cuando los atacantes explotan temas humanitarios urgentes, recursos en línea confiables y herramientas del sistema legítimas para aumentar el compromiso de las víctimas. Europol también señala que el phishing sigue sirviendo como un vector principal de entrega para el malware de robo de datos. Este patrón se refleja claramente en la última actividad rastreada por CERT-UA, donde los actores de amenazas utilizaron señuelos con temas de ayuda humanitaria y un malware de entrega en múltiples etapas para atacar a organizaciones ucranianas.
En un artículo de CERT-UA, los investigadores describieron una campaña de UAC-0247 que apuntaba a órganos de autogobierno local, instituciones de salud comunitaria y, probablemente, a representantes de las Fuerzas de Defensa de Ucrania. La operación finalmente desplegó AGINGFLY y herramientas maliciosas relacionadas, combinando phishing, entrega web engañosa y abuso de utilidades legítimas de Windows para establecer acceso y soportar un compromiso posterior.
El último informe de CERT-UA destaca otra ola de intrusiones impulsadas por phishing dirigidas a los sectores civil y potencialmente adyacentes a la defensa de Ucrania. En la campaña descrita en el artículo, los atacantes usaron correos electrónicos con temas de ayuda humanitaria para atraer a las víctimas a abrir contenido malicioso que eventualmente desplegó AGINGFLY, una familia de malware asociada con el acceso remoto, el robo de credenciales y actividades posteriores al compromiso. Los objetivos observados incluían órganos de autogobierno local, instituciones de salud comunitaria, incluidos hospitales clínicos y de emergencia, y probablemente individuos conectados con operaciones de drones FPV.
Regístrese en la Plataforma SOC Prime para defender proactivamente su organización contra los ataques UAC-0247. Simplemente presione Explorar Detecciones a continuación y acceda a un conjunto de reglas de detección relevante, enriquecido con CTI nativo de AI, mapeado al marco MITRE ATT&CK® y compatible con una amplia gama de tecnologías SIEM, EDR y Data Lake.
Los equipos de seguridad pueden buscar en el Mercado de Detección de Amenazas usando la etiqueta “UAC-0247” para identificar detecciones relevantes y monitorear actualizaciones de contenido relacionadas. Los defensores cibernéticos también pueden confiar en Uncoder AI para convertir la inteligencia de amenazas cruda en consultas optimizadas para el rendimiento, documentar y mejorar la lógica de las reglas, y generar Flujos de Ataque basados en el último informe de CERT-UA.
Analizando Ataques UAC-0247 que Entregan AGINGFLY a través de Señuelos de Phishing con Temas Humanitarios
Según CERT-UA, la cadena de ataque comenzó con correos electrónicos de phishing disfrazados de propuestas de ayuda humanitaria. Se incitó a las víctimas a hacer clic en un enlace que redirigía ya sea a un sitio web legítimo comprometido a través de scripting entre sitios (XSS) o a un sitio web falso generado con herramientas de IA. En ambos escenarios, el objetivo era persuadir a la víctima de descargar y abrir un archivo comprimido que contenía un archivo LNK malicioso.
Una vez lanzado, el archivo de acceso directo abusaba de mshta.exe para recuperar y ejecutar un archivo HTA remoto. El HTA mostraba un formulario de señuelo para distraer a la víctima mientras descargaba simultáneamente un ejecutable que inyectaba código de máquina en un proceso legítimo, como RuntimeBroker.exe. CERT-UA también señaló que las etapas más recientes de la campaña dependieron de un cargador de dos etapas, donde la segunda etapa usaba un formato ejecutable propietario y la carga final estaba adicionalmente comprimida y encriptada para complicar la detección y el análisis.
Entre los componentes de la siguiente etapa identificados en la campaña estaban RAVENSHELL, que actuaba como un stager de estilo reverse-shell, SILENTLOOP, una herramienta basada en PowerShell capaz de ejecutar comandos y obtener datos de mando y control, y AGINGFLY, la familia de malware principal utilizada en la operación. Los informes vinculados a CERT-UA indican que AGINGFLY está diseñado para control remoto, robo de datos y actividades de compromiso posterior.
La campaña también apoyó el robo de credenciales, el reconocimiento y el movimiento lateral. Los investigadores observaron el uso de herramientas para extraer datos de navegadores basados en Chromium, acceder a datos relacionados con la mensajería, escanear redes internas y tunelizar el tráfico a través de entornos comprometidos. En uno de los casos investigados, la evidencia forense sugirió que representantes de las Fuerzas de Defensa de Ucrania pudieron haber sido blanco utilizando archivos ZIP maliciosos distribuidos a través de Signal y diseñados para desplegar AGINGFLY mediante carga lateral de DLL.
Para reducir la exposición a esta actividad, CERT-UA recomienda restringir la ejecución de tipos de archivos riesgosos como LNK, HTA y JS, mientras se limita o se monitorea de cerca el uso de herramientas nativas de Windows frecuentemente abusadas en la cadena de infección, incluidas mshta.exe, powershell.exe y wscript.exe.
Contexto MITRE ATT&CK
Aprovechar MITRE ATT&CK ayuda a contextualizar la actividad más reciente de UAC-0247. Basándose en los TTPs reportados, las técnicas más relevantes probablemente incluyen Phishing: Enlace de Spearphishing (T1566.002), Intérprete de Comandos y Scripts, Inyección de Procesos (T1055), Protocolos Web / WebSockets para C2, Acceso a Credenciales, y Movimiento Lateral a través de herramientas de tunelización y proxy. Este mapeo refleja los señuelos de phishing, la entrega web engañosa, la ejecución de LNK a HTA, la inyección de shellcode, el despliegue de AGINGFLY, y el robo de credenciales posterior y el reconocimiento interno.
