Segui 
Il phishing rimane una delle tattiche più efficaci nel playbook dei cybercriminali, particolarmente quando gli attaccanti sfruttano temi umanitari urgenti, risorse online affidabili e strumenti di sistema legittimi per aumentare il coinvolgimento delle vittime. Europol osserva anche che il phishing continua a servire come vettore principale per la diffusione di malware volto al furto di dati. Questo schema si riflette chiaramente nell’attività più recente tracciata da CERT-UA, dove gli attori della minaccia hanno usato esche a tema aiuti umanitari e una consegna di malware a più stadi per prendere di mira organizzazioni ucraine.
In un articolo di CERT-UA, i ricercatori hanno descritto una campagna UAC-0247 mirata agli enti di autogoverno locale, alle istituzioni sanitarie comunali, e probabilmente a rappresentanti delle Forze di Difesa dell’Ucraina. L’operazione ha infine distribuito AGINGFLY e strumenti dannosi correlati, combinando phishing, diffusione web ingannevole e abuso di utility legittime di Windows per stabilire accesso e sostenere il compromesso successivo.
Le ultime segnalazioni di CERT-UA evidenziano un’altra ondata di intrusioni guidate dal phishing mirate al settore civile dell’Ucraina e potenzialmente a settori adiacenti alla difesa. Nella campagna descritta nell’ articolo, gli attaccanti hanno usato email a tema aiuti umanitari per attirare le vittime ad aprire contenuti dannosi che alla fine distribuivano AGINGFLY, una famiglia di malware associata a accesso remoto, furto di credenziali e attività successive al compromesso. Gli obiettivi osservati includevano enti di autogoverno locale, istituzioni sanitarie comunali, tra cui ospedali clinici ed emergenziali, e probabilmente individui connessi alle operazioni di droni FPV.
Iscriviti alla piattaforma di SOC Prime per difendere preventivamente la tua organizzazione dagli attacchi UAC-0247. Basta premere su Esplora Rilevamenti qui sotto e accedere a un insieme di regole di rilevamento pertinenti, arricchito con CTI nativa AI, mappato sul framework MITRE ATT&CK®, e compatibile con una vasta gamma di tecnologie SIEM, EDR e Data Lake.
I team di sicurezza possono cercare nel Threat Detection Marketplace utilizzando il tag “UAC-0247” per identificare rilevamenti pertinenti e monitorare gli aggiornamenti dei contenuti correlati. I difensori informatici possono anche fare affidamento su Uncoder AI per convertire l’intelligence sulle minacce grezze in query ottimizzate per le prestazioni, documentare e migliorare la logica delle regole e generare Attack Flows basati sulle ultime segnalazioni CERT-UA.
Analizzare gli Attacchi UAC-0247 che Distribuiscono AGINGFLY attraverso Esche di Phishing a Tema Umanitario
Secondo CERT-UA, la catena di attacco è iniziata con email di phishing travestite da proposte di aiuto umanitario. Le vittime sono state invitate a cliccare su un link che reindirizzava o a un sito legittimo compromesso tramite cross-site scripting (XSS) o a un sito falso generato con strumenti di IA. In entrambi gli scenari, l’obiettivo era persuadere la vittima a scaricare e aprire un archivio contenente un file LNK dannoso.
Una volta avviato, il file scorciatoia ha abusato di mshta.exe per recuperare ed eseguire un file HTA remoto. L’HTA visualizzava un modulo esca per distrarre la vittima mentre scaricava contemporaneamente un eseguibile che iniettava shellcode in un processo legittimo, come RuntimeBroker.exe. CERT-UA ha inoltre notato che le fasi più recenti della campagna si basavano su un loader a due stadi, con il secondo stadio che utilizzava un formato eseguibile proprietario e il payload finale ulteriormente compresso e criptato per complicare il rilevamento e l’analisi.
Tra i componenti di un prossimo stadio identificati nella campagna c’erano RAVENSHELL, che agiva come uno stager in stile reverse-shell, SILENTLOOP, uno strumento basato su PowerShell capace di eseguire comandi e ottenere dati di comando e controllo, e AGINGFLY, la principale famiglia di malware utilizzata nell’operazione. Le segnalazioni legate a CERT-UA indicano che AGINGFLY è progettato per il controllo remoto, il furto di dati e attività di compromesso successive.
La campagna ha inoltre supportato il furto di credenziali, il riconoscimento e il movimento laterale. Gli investigatori hanno osservato l’uso di strumenti per estrarre dati da browser basati su Chromium, accedere a dati relativi alla messaggistica, scansionare reti interne e tunnelizzare il traffico attraverso ambienti compromessi. In uno dei casi investigati, le prove forensi hanno suggerito che rappresentanti delle Forze di Difesa dell’Ucraina siano stati presi di mira usando archivi ZIP malevoli distribuiti via Signal e progettati per distribuire AGINGFLY attraverso il side-loading di DLL.
Per ridurre l’esposizione a questa attività, CERT-UA raccomanda di limitare l’esecuzione di file di tipo rischioso come LNK, HTA e JS, monitorando attentamente o limitando l’uso di strumenti nativi di Windows frequentemente abusati nella catena di infezione, tra cui mshta.exe, powershell.exe, e wscript.exe.
Contesto MITRE ATT&CK
Sfruttare MITRE ATT&CK aiuta a contestualizzare l’attività più recente di UAC-0247. In base alle TTP segnalate, le tecniche più rilevanti probabilmente includono Phishing: Spearphishing Link (T1566.002), Interprete di Comandi e Scripting, Iniezione di Processo (T1055), Protocolli Web / WebSockets per C2, Accesso alle credenziali, e Movimenti Laterali tramite strumenti di tunneling e proxy. Questa mappatura riflette le esche di phishing, la diffusione web ingannevole, l’esecuzione LNK-a-HTA, l’iniezione di shellcode, la distribuzione di AGINGFLY, e il successivo furto di credenziali e riconoscimento interno.
