El grupo avanzado de amenaza persistente (apt) conocido como UAC-0063 se ha observado aprovechando documentos legítimos obtenidos al infiltrarse en una víctima para atacar a otro objetivo con el objetivo de entregar un malware conocido denominado HatVibe.
«Esta investigación se centra en completar la imagen de las operaciones de UAC-0063, particularmente documentar su expansión más allá de su enfoque inicial en Asia Central, dirigirse a entidades como embajadas en múltiples países europeos, incluidos Alemania, el Reino Unido, los Países Bajos, Rumania y Georgia, «Martin Zugec, director de soluciones técnicas en Bitdefender, dijo en un informe compartido con Hacker News.
La UAC-0063 fue marcada por primera vez por la compañía de ciberseguridad rumana en mayo de 2023 en relación con una campaña que dirigió a las entidades gubernamentales en Asia Central con un malware de exfiltración de datos conocido como Downex (también conocido como Startarch). Se sospecha que comparte enlaces con un actor patrocinado por el estado ruso conocido llamado APT28.
Solo semanas después, el Equipo de Respuesta a Emergencias de la Computación de Ucrania (CERT-UA), que asignó el clúster de amenazas el apodo, reveló que el grupo de piratería ha estado operativo desde al menos 2021, atacando a los organismos estatales en el país con un Keylogger (Logpie) , un cargador de script de aplicación HTML (HatVibe), una puerta trasera de Python (CherrySpy o Bownexpyer) y Downex.
Existe evidencia de que UAC-0063 también se ha dirigido a varias entidades gubernamentales y organizaciones educativas en Asia Central, Asia Oriental y Europa, según el grupo Insikt registrado de Future, que le ha asignado al actor de amenaza el nombre TAG-110.
A principios de este mes, la firma de ciberseguridad Sekoia reveló que identificaba una campaña realizada por el equipo de piratería que involucraba el uso de documentos robados del Ministerio de Asuntos Exteriores de la República de Kazajstán para lanzar objetivos phish y entregar el malware HatVibe.
Los últimos hallazgos de Bitdefender demuestran una continuación de este comportamiento, con las intrusiones en última instancia, allanando el camino para Downex, Dowlexyer y un exfiltrador de datos USB recientemente descubierto, el nombre en código PyPlundePlug en al menos un incidente dirigido a una compañía alemana a mediados de enero de 2023.
Downexpyer viene equipado con capacidades variadas para mantener una conexión persistente con un servidor remoto y recibir comandos para recopilar datos, ejecutar comandos e implementar cargas útiles adicionales. La lista de tareas obtenidas del servidor de comando y control (C2) está a continuación-
- A3: exfiltrados archivos que coinciden con un conjunto específico de extensiones con C2
- A4: exfiltrate archivos y registros de pulsación de teclas a C2 y elimínelos después de la transmisión
- A5 – Ejecutar comandos (por defecto, se llama a la función «SystemInfo» a la información del sistema de cosecha)
- A6 – Enumerar el sistema de archivos
- A7 – Toma capturas de pantalla
- A11 – Terminar otra tarea de ejecución
«La estabilidad de las funcionalidades centrales de Rockyer en los últimos dos años es un indicador significativo de su madurez y probablemente presencia de larga data dentro del arsenal UAC-0063», explicó Zugec. «Esta estabilidad observada sugiere que Downexter probablemente ya estaba operativo y refinado antes de 2022.»
Bitdefender dijo que también identificó un script de Python diseñado para grabar pulsaciones de teclas, probablemente un precursor de logpie, en una de las máquinas comprometidas que estaba infectada con Downex, Downexpyer y HatVibe.
«UAC-0063 ejemplifica un grupo de actores de amenaza sofisticado caracterizado por sus capacidades avanzadas y la orientación persistente de las entidades gubernamentales», dijo Zugec.
«Su arsenal, que presenta implantes sofisticados como Dowexyer y Pyplenpundlug, combinado con TTP bien elaborados, demuestra un enfoque claro en el espionaje y la recopilación de inteligencia. La orientación de entidades gubernamentales dentro de regiones específicas se alinea con posibles intereses estratégicos rusos».