La ciberguerra ucraniana considera que se tomarán más medidas como UAC-0099 Actor de amenazas intensifica su campaña de ciberespionaje contra empresas ucranianas. Aprovechando una vulnerabilidad grave en el popular software WinRAR, el grupo organiza ataques sofisticados para implementar el malware Lonepage, un malware VBS capaz de ejecutar comandos remotos y robar datos.
UAC-0099 Explota la vulnerabilidad de WinRar
En los ataques más recientes, UAC-0099El enfoque en explotando la vulnerabilidad WinRAR (CVE-2023-38831, puntuación CVSS: 7.8) significa un enfoque sofisticado a los ciberataques. Esta falla de alta gravedad en WinRAR, una herramienta de compresión de archivos ampliamente utilizada, abre una puerta trasera para que los atacantes inyecten código malicioso en sistemas desprevenidos. También, el exploit implica el uso de rigged self-extracting (SFX) archives y archivos ZIP especialmente diseñados, Diseñado para eludir las medidas de seguridad tradicionales y enviar el malware Lonepage directamente al corazón de los sistemas de destino..
Vectores de ataque usando WinRAR:
- El engaño de los archivos autoextraíbles: Los atacantes distribuyen archivos SFX, que albergan accesos directos LNK maliciosos camuflados como documentos DOCX inocuos. Estos archivos, usando íconos familiares como Microsoft WordPad, Atraer a las víctimas para que, sin saberlo, ejecuten scripts maliciosos de PowerShell que instalan Lonepage..
- Archivos ZIP manipulados: UAC-0099 también emplea archivos ZIP específicamente crafted to exploit the WinRAR flaw. Estos archivos están diseñados para activar la vulnerabilidad., que además permite que los fraudes ejecuten código arbitrario.
¿Qué es la UAC?-0099?
La UAC-0099 grupo, identificado por primera vez por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) en junio 2023, ante todo apunta a empleados ucranianos que trabajan para empresas internacionales. Sus tácticas, aunque no es tecnológicamente innovador, resultar eficaz en comprometer información crítica de una amplia gama de organismos estatales y entidades mediáticas. El análisis reciente de Deep Instinct revela una tendencia preocupante: El enfoque constante del grupo en el espionaje., poniendo en peligro no sólo a las organizaciones, sino también las personas involucradas.
¿Qué es el malware Lonepage??
Lonepage Malware es un sofisticado script de Visual Basic (EBV) basado malware utilizado por el actor de amenazas UAC-0099 en campañas de ciberespionaje. Está diseñado para infiltrarse sigilosamente en los sistemas objetivo y establecer comunicación con un comando y control. (C2) servidor. Una vez instalada, Lonepage puede recibir y ejecutar más instrucciones maliciosas desde este servidor. También, sus capacidades incluyen el despliegue additional payloads like keyloggers, ladrones de datos, y herramientas de captura de pantalla. La versatilidad y capacidad de adaptación a diferentes entornos hacen de este malware una amenaza importante., capaz de extraer silenciosamente información confidencial y realizar vigilancia a largo plazo en sistemas comprometidos.
Recomendaciones y mitigaciones
A medida que los actores de amenazas continúan perfeccionando sus tácticas, es imperativo para las organizaciones, especialmente aquellos con vínculos con Ucrania, adelantarse a estas amenazas mediante prácticas de seguridad diligentes, educación continua, y defensas tecnológicas sólidas. La batalla contra el cibercrimen continúa, y la concienciación es el primer paso para salvaguardar nuestro futuro digital.
Aquí hay algunos consejos:
- Asegúrese de que todo el software, aplicaciones especialmente utilizadas como WinRAR, son actualizado con los últimos parches de seguridad.
- Realizar sesiones periódicas de formación para los empleados. para reconocer intentos de phishing y archivos adjuntos de correo electrónico sospechosos.
- Implementar soluciones de seguridad avanzadas, incluyendo cortafuegos, programas antivirus, y sistemas de detección de intrusos.
- Realizar auditorías de seguridad de rutina y monitorear continuamente el tráfico de la red en busca de signos de actividad inusual.
