FortiGuard Labs è a conoscenza di un rapporto del CERT-UA secondo cui le organizzazioni ucraine sono sotto attacco informatico che mirano a installare una backdoor pubblicamente disponibile denominata “MicroBackdoor”. Gli attacchi informatici sono attribuiti al gruppo APT “UAC-0051”, noto anche come unc1151, che in passato avrebbe agito per gli interessi del governo bielorusso. Perché è significativo? Questo è significativo perché, secondo CERT-UA, le organizzazioni ucraine sono state attaccate da un gruppo dell’APT le cui attività passate sarebbero in linea con gli interessi del governo bielorusso. Qual è il dettaglio dell’attacco? Sfortunatamente, il vettore dell’attacco iniziale è sconosciuto. Quello che si sa è che le vittime hanno ricevuto “dovidka.zip”, che contiene “dovidka.chm”. Il file CHM contiene due file. Un image.jpg è un file immagine utilizzato come esca. Un altro file è file.htm, che crea “ignit.vbs”. Il file VBS decodifica tre file: “core.dll”, “desktop.ini” e “Windows Prefetch.lnk”. Il file LNK avvia il file INI utilizzando wscript.exe. Quindi, il file INI esegue la DLL utilizzando regasm.exe. Il core.dll è un caricatore .NET che decodifica ed esegue MicroBackdoor sulla macchina compromessa. Cos’è MicroBackdoor? MicroBackdoor è una backdoor disponibile pubblicamente che riceve comandi da un server Command and Control (C2) ed esegue varie attività. Secondo la descrizione sul repository MicroBackdoor”Il client Micro Backdoor supporta le versioni a 32 e 64 bit di Windows XP, Vista, 7, 8, 8.1, 10, Server 2003, Server 2003 R2, Server 2008, Server 2008 R2, Server 2012, Server 2012 R2, Server 2016 e Server 2019 di qualsiasi edizione, lingua e service pack.”Qual è lo stato della copertura?FortiGuard Labs fornisce la seguente copertura AV contro i file disponibili coinvolti nell’attacco:PossibleThreat.PALLAS.HVBS/Agent.OVE !trLNK /Agent.7AB4!trTutti gli IOC di rete sono bloccati dal client WebFiltering.
