El rama progresista de amenaza persistente (apt) conocido como UAC-0063 se ha observado aprovechando documentos legítimos obtenidos al infiltrarse en una víctima para atacar a otro objetivo con el objetivo de entregar un malware conocido denominado HatVibe.
“Esta investigación se centra en completar la imagen de las operaciones de UAC-0063, particularmente documentar su expansión más allá de su enfoque original en Asia Central, dirigirse a entidades como embajadas en múltiples países europeos, incluidos Alemania, el Reino Unido, los Países Bajos, Rumania y Georgia, “Martin Zugec, director de soluciones técnicas en Bitdefender, dijo en un referencia compartido con Hacker News.
La UAC-0063 fue marcada por primera vez por la compañía de ciberseguridad rumana en mayo de 2023 en relación con una campaña que dirigió a las entidades gubernamentales en Asia Central con un malware de exfiltración de datos conocido como Downex (igualmente conocido como Startarch). Se sospecha que comparte enlaces con un actor patrocinado por el estado ruso conocido llamado APT28.
Solo semanas posteriormente, el Equipo de Respuesta a Emergencias de la Computación de Ucrania (CERT-UA), que asignó el clúster de amenazas el apodo, reveló que el rama de piratería ha estado eficaz desde al menos 2021, atacando a los organismos estatales en el país con un Keylogger (Logpie) , un cargador de script de aplicación HTML (HatVibe), una puerta trasera de Python (CherrySpy o Bownexpyer) y Downex.
Existe evidencia de que UAC-0063 igualmente se ha dirigido a varias entidades gubernamentales y organizaciones educativas en Asia Central, Asia Uruguayo y Europa, según el rama Insikt registrado de Future, que le ha asignado al actor de amenaza el nombre TAG-110.
A principios de este mes, la firma de ciberseguridad Sekoia reveló que identificaba una campaña realizada por el equipo de piratería que involucraba el uso de documentos robados del Profesión de Asuntos Exteriores de la República de Kazajstán para difundir objetivos phish y entregar el malware HatVibe.
Los últimos hallazgos de Bitdefender demuestran una continuación de este comportamiento, con las intrusiones en última instancia, allanando el camino para Downex, Dowlexyer y un exfiltrador de datos USB recientemente descubierto, el nombre en código PyPlundePlug en al menos un incidente dirigido a una compañía alemana a mediados de enero de 2023.
Downexpyer viene equipado con capacidades variadas para ayudar una conexión persistente con un servidor remoto y aceptar comandos para compendiar datos, ejecutar comandos e implementar cargas bártulos adicionales. La cinta de tareas obtenidas del servidor de comando y control (C2) está a continuación-
- A3: exfiltrados archivos que coinciden con un conjunto específico de extensiones con C2
- A4: exfiltrate archivos y registros de pulsación de teclas a C2 y elimínelos posteriormente de la transmisión
- A5 – Ejecutar comandos (por defecto, se apasionamiento a la función “SystemInfo” a la información del sistema de cosecha)
- A6 – Enumerar el sistema de archivos
- A7 – Toma capturas de pantalla
- A11 – Terminar otra tarea de ejecución
“La estabilidad de las funcionalidades centrales de Rockyer en los últimos dos abriles es un indicador significativo de su masculinidad y probablemente presencia de larga data interiormente del atarazana UAC-0063”, explicó Zugec. “Esta estabilidad observada sugiere que Downexter probablemente ya estaba eficaz y refinado antiguamente de 2022.”
Bitdefender dijo que igualmente identificó un script de Python diseñado para morder pulsaciones de teclas, probablemente un precursor de logpie, en una de las máquinas comprometidas que estaba infectada con Downex, Downexpyer y HatVibe.
“UAC-0063 ejemplifica un rama de actores de amenaza sofisticado caracterizado por sus capacidades avanzadas y la orientación persistente de las entidades gubernamentales”, dijo Zugec.
“Su atarazana, que presenta implantes sofisticados como Dowexyer y Pyplenpundlug, combinado con TTP admisiblemente elaborados, demuestra un enfoque claro en el espionaje y la sumario de inteligencia. La orientación de entidades gubernamentales interiormente de regiones específicas se alinea con posibles intereses estratégicos rusos”.
