Seguir 
O phishing continua a ser uma das táticas mais eficazes no arsenal dos cibercriminosos, particularmente quando os atacantes exploram temas humanitários urgentes, recursos online confiáveis e ferramentas de sistema legítimas para aumentar o envolvimento das vítimas. A Europol também observa que o phishing continua servindo como um vetor primário de entrega para malware que rouba dados. Este padrão é claramente refletido na atividade mais recente acompanhada pelo CERT-UA, onde atores de ameaça usaram iscas temáticas de ajuda humanitária e entrega de malware em múltiplos estágios para atingir organizações ucranianas.
Em um artigo do CERT-UA, pesquisadores descreveram uma campanha UAC-0247 direcionada a órgãos de autogoverno locais, instituições de saúde comunitária e provavelmente representantes das Forças de Defesa da Ucrânia. A operação, no final, implantou o AGINGFLY e ferramentas maliciosas relacionadas, combinando phishing, entrega web enganosa e abuso de utilitários legítimos do Windows para estabelecer acesso e apoiar compromissos subsequentes.
O relatório mais recente do CERT-UA destaca outra onda de intrusões motivadas por phishing, visando setores civis da Ucrânia e, potencialmente, setores adjacentes à defesa. Na campanha descrita no artigo, atacantes usaram e-mails temáticos de ajuda humanitária para atrair vítimas a abrir conteúdo malicioso que eventualmente implantou o AGINGFLY, uma família de malware associada a acesso remoto, roubo de credenciais e atividades pós-comprometimento subsequentes. Os alvos observados incluíam órgãos de autogoverno locais, instituições de saúde comunitária, incluindo hospitais clínicos e de emergência, e provavelmente indivíduos conectados a operações de drones FPV.
Inscreva-se na Plataforma SOC Prime para defender proativamente sua organização contra ataques UAC-0247. Basta pressionar Explorar Detecções abaixo e acessar um conjunto de regras de detecção relevantes, enriquecido com CTI nativo em IA, mapeado para a estrutura MITRE ATT&CK® e compatível com uma ampla gama de tecnologias SIEM, EDR e Data Lake.
As equipes de segurança podem pesquisar no Mercado de Detecção de Ameaças usando a etiqueta “UAC-0247” para identificar detecções relevantes e monitorar atualizações de conteúdo relacionadas. Os defensores cibernéticos também podem contar com o Uncoder AI para converter inteligência de ameaças bruta em consultas otimizadas de desempenho, documentar e melhorar a lógica de regras e gerar Fluxos de Ataque com base no relatório mais recente do CERT-UA.
Analisando Ataques UAC-0247 que Entregam AGINGFLY via Iscas de Phishing com Temática Humanitária
De acordo com o CERT-UA, a cadeia de ataque começou com e-mails de phishing disfarçados como propostas de ajuda humanitária. As vítimas foram incentivadas a clicar em um link que redirecionava para um site legítimo comprometido por cross-site scripting (XSS) ou para um site falso gerado com ferramentas de IA. Em ambos os cenários, o objetivo era convencer a vítima a baixar e abrir um arquivo compactado contendo um arquivo LNK malicioso.
Uma vez lançado, o arquivo de atalho abusou do mshta.exe para recuperar e executar um arquivo HTA remoto. O HTA exibia um formulário disfarce para distrair a vítima enquanto simultaneamente baixava um executável que injetava shellcode em um processo legítimo, como RuntimeBroker.exe. O CERT-UA também observou que estágios mais recentes da campanha dependiam de um carregador em dois estágios, com o segundo estágio usando um formato executável proprietário e a carga final adicionalmente compactada e criptografada para complicar a detecção e análise.
Entre os componentes de estágio seguinte identificados na campanha estavam o RAVENSHELL, que atuava como um preparador de shell reverso, o SILENTLOOP, uma ferramenta baseada em PowerShell capaz de executar comandos e obter dados de comando e controle, e o AGINGFLY, a principal família de malware usada na operação. Relatórios vinculados ao CERT-UA indicam que o AGINGFLY é projetado para controle remoto, roubo de dados e atividade de comprometimento subsequente.
A campanha também apoiava o roubo de credenciais, reconhecimento e movimento lateral. Os investigadores observaram o uso de ferramentas para extrair dados de navegadores baseados em Chromium, acessar dados relacionados a mensagens, escanear redes internas e túnel de tráfego através de ambientes comprometidos. Em um dos casos investigados, evidências forenses sugeriram que representantes das Forças de Defesa da Ucrânia podem ter sido alvos por meio de arquivos ZIP maliciosos distribuídos via Signal e projetados para implantar AGINGFLY por meio de carregamento lateral de DLL.
Para reduzir a exposição a essa atividade, o CERT-UA recomenda restringir a execução de tipos de arquivos arriscados, como LNK, HTA e JS, enquanto também limita ou monitora de perto o uso de ferramentas nativas do Windows frequentemente abusadas na cadeia de infecção, incluindo mshta.exe, powershell.exe e wscript.exe.
Contexto MITRE ATT&CK
Aproveitar o MITRE ATT&CK ajuda a contextualizar a atividade mais recente do UAC-0247. Com base nos TTPs relatados, as técnicas mais relevantes provavelmente incluem Phishing: Spearphishing Link (T1566.002), Interprete de Comando e Script, Injeção de Processo (T1055), Protocolos Web / WebSockets para C2, Acesso a Credenciais e Movimento Lateral via ferramentas de tunelamento e proxy. Este mapeamento reflete as iscas de phishing, entrega web enganosa, execução de LNK para HTA, injeção de shellcode, implantação de AGINGFLY e roubo de credenciais subsequente e reconhecimento interno.
