ȘtiriTech&IT

Grupul de hackeri UAC-0063 atacă ambasade europene, inclusiv din România

Grupul de hackeri UAC-0063, un actor avansat de amenințări persistente (APT), și-a extins atacurile cibernetice asupra ambasadelor din mai multe țări europene, inclusiv Germania, Marea Britanie, Olanda, Georgia și România. Potrivit unei cercetări Bitdefender, atacatorii reutilizează documente furate pentru a compromite noi ținte și a livra malware periculos precum HATVIBE și DownExPyer.

Cum acționează grupul de hackeri UAC-0063

UAC-0063 este activ cel puțin din 2022, fiind inițial descoperit când ataca entități guvernamentale din Asia Centrală. Recent, și-a mutat atenția către Europa, vizând instituții diplomatice și guvernamentale. Bitdefender a identificat activități suspecte și tentative de compromitere a instituțiilor guvernamentale și diplomatice din România, ceea ce sugerează un interes al atacatorilor pentru informațiile din țară.

Grupul de hackeri UAC-0063 folosește documente autentice furate pentru a induce în eroare victimele, convingându-le să deschidă fișiere Word infectate care declanșează instalarea de malware. Odată ce un dispozitiv este compromis, UAC-0063 poate exfiltra date confidențiale și poate folosi sistemul infectat pentru a lansa noi atacuri asupra altor instituții.

Instrumentele malware folosite de UAC-0063

Bitdefender a identificat mai multe tipuri de malware utilizate în atacuri: HATVIBE (HTML Application script loader) – un loader de scripturi care facilitează instalarea altor amenințări; DownEx și versiunea DownExPyer – malware specializat în exfiltrarea datelor confidențiale.

Aceste programe pot fura fișiere specifice, înregistra ecranul utilizatorului, înregistra apăsarea tastelor și chiar executa comenzi de la distanță, oferindu-le atacatorilor control complet asupra sistemului compromis. Recent, cercetătorii au identificat și PyPlunderPlug, un nou malware specializat în furtul datelor de pe dispozitive USB, descoperit într-un atac asupra unei companii din Germania în ianuarie 2023.

CERT-UA sugerează că grupul de hackeri UAC-0063 ar avea legături cu APT28, un grup cunoscut pentru operațiuni de spionaj cibernetic în favoarea Rusiei. Deși nu există dovezi tehnice concludente pentru această atribuire, tiparul atacurilor și țintele vizate – în special instituțiile diplomatice din regiunea est-europeană – susțin această ipoteză.

Specialiștii recomandă instituțiilor vizate implementarea unor măsuri stricte de securitate, inclusiv dezactivarea macro-urilor (seturi de instrucțiuni automate care pot fi exploatate pentru a rula cod periculos) în documentele Office și instruirea angajaților pentru recunoașterea e-mailurilor de phishing.

Articole asemanatoare

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Back to top button