Ucraina, UAC-0185: minaccia Difesa e industria

Il team CERT-UA ha individuato una serie di attacchi informatici mirati condotti dal gruppo UAC-0185 (UNC4221) contro le Forze Armate e le imprese del settore della difesa ucraino (ОПК). Questi attacchi utilizzano catene di malware sofisticate, finalizzate al furto di dati sensibili e all’accesso remoto non autorizzato a reti critiche.

Modalità di attacco

Gli attori della minaccia diffondono email di phishing apparentemente inviate dal “Unione degli industriali e degli imprenditori ucraini”. I messaggi contengono un invito a una conferenza su standard tecnologici NATO, includendo un file LNK dannoso che attiva una catena di esecuzione con script PowerShell e utility di Windows.

Sequenza dell’attacco:

1. Email fraudolente con collegamenti a file LNK (“list_02-1-437.lnk”).
2. Esecuzione del file “start.hta” tramite mshta.exe, che avvia script PowerShell.
3. Creazione di documenti fasulli come diversivo e caricamento di un archivio ZIP con file dannosi:
   • “Main.bat”: gestisce l’esecuzione del payload.
   • “Registry.hta”: inserisce script nei programmi di avvio automatico.
   • “update.exe”: componente di controllo remoto tramite MESHAGENT.
4. Il malware disinstalla i propri componenti secondari per limitare la rilevazione.

Obiettivi principali del gruppo

Dal 2022, UAC-0185 si concentra su:

• Furto di credenziali di Signal, Telegram, WhatsApp.
• Compromissione di sistemi militari come “DELTA”, “ТЕНЕТА”, e “Кропива”.
• Accesso non autorizzato alle reti delle imprese della difesa tramite strumenti come MESHAGENT e ULTRAVNC.

Indicatori di compromissione (IoC)

• File dannosi: “list_02-1-437.lnk”, “Main.bat”, “Registry.hta”, “update.exe”.
• Domini coinvolti: device.redirecl[.]com, mail.outloolc[.]com.
• Indirizzi IP associati: 146[.]59.102.122, 185[.]158.248.104.

Raccomandazioni

1. Aggiornamento dei sistemi e implementazione di software di protezione per rilevare gli IoC.
2. Monitoraggio delle attività sospette nelle reti aziendali.
3. Sensibilizzazione dei dipendenti su phishing e sicurezza informatica.
4. Utilizzo di autenticazione multifattoriale (MFA) per proteggere gli account critici.

Gli attacchi UAC-0185 dimostrano una sofisticazione crescente, con impatti significativi su sicurezza e infrastrutture critiche. L’implementazione tempestiva delle misure consigliate da CERT-UA è essenziale per mitigare i rischi e rafforzare la resilienza contro queste minacce avanzate.