Campagna UAC-0184 malware avanzato contro obiettivi militari

Il gruppo di minacce UAC-0184 ha recentemente implementato una sofisticata campagna malware che prende di mira specificamente obiettivi militari ucraini. Questa operazione rappresenta un esempio avanzato di come i cyber criminali combinino tecniche di social engineering con l’abuso di strumenti legittimi Windows per eludere i sistemi di rilevamento più moderni.

Il vettore di attacco iniziale: social engineering attraverso le app di messaggistica

La campagna inizia con una strategia di distribuzione apparentemente innocua ma estremamente efficace. Gli attaccanti utilizzano piattaforme di messaggistica popolari come Viber per distribuire archivi ZIP malevoli ai loro obiettivi. Questa scelta non è casuale: le app di messaggistica sono spesso considerate canali sicuri dagli utenti, abbassando così le loro difese psicologiche.

All’interno di questi archivi ZIP si nascondono file LNK (collegamenti) accuratamente mascherati da documenti Office o PDF con temi militari o legali. Questa tattica sfrutta la fiducia degli utenti verso documenti apparentemente ufficiali e rilevanti per il loro lavoro quotidiano.

L’evoluzione dell’attacco: da LNK a payload nascosti

Una volta che la vittima apre il file LNK mascherato, si innesca una catena di eventi complessa e ben orchestrata:

• Il file LNK utilizza bitsadmin, un tool legittimo di Windows, per scaricare file HTA dal server di comando e controllo
• I file HTA eseguono script PowerShell per scaricare payload aggiuntivi
• Durante questo processo, viene mostrato un documento falso per mantenere l’illusione di normalità
• Il malware si installa silenziosamente in background mentre l’utente osserva il documento apparentemente legittimo

Tecniche avanzate di evasione: LOLBins e DLL sideloading

Una delle caratteristiche più sofisticate di questa campagna è l’uso estensivo di Living off the Land Binaries (LOLBins). Questi sono strumenti legittimi di Windows che gli attaccanti sfruttano per scopi malevoli, rendendo estremamente difficile il rilevamento da parte dei sistemi di sicurezza tradizionali.

Il gruppo UAC-0184 impiega anche tecniche di DLL sideloading utilizzando eseguibili firmati e completamente legittimi, tra cui:

• VSLauncher.exe – componente di Visual Studio
• Cluster-Overlay64.exe – strumento di clustering
• Componenti della suite PassMark BurnInTest

Questa strategia permette agli attaccanti di eseguire codice malevolo attraverso processi apparentemente innocui e firmati digitalmente, bypassando molti controlli di sicurezza.

Steganografia e occultamento del payload

La sofisticatezza tecnica raggiunge il suo apice nell’occultamento del payload malevolo. Gli attaccanti nascondono il loro codice all’interno di file immagine PNG, utilizzando specificamente i chunk IDAT per memorizzare dati crittografati.

Il processo di estrazione e decodifica include:

• Crittografia XOR per offuscare il payload
• Compressione LZNT1 per ridurre le dimensioni
• Ricostruzione del payload direttamente in memoria
• Tecniche avanzate come module stomping e shellcode injection

Queste tecniche permettono di distribuire malware come HijackLoader o Remcos RAT senza lasciare tracce evidenti sul disco rigido della vittima.

Metodi di evasione e persistenza

Per garantire il successo dell’operazione e evitare il rilevamento, UAC-0184 implementa multiple strategie di evasione:

• Verifiche dell’ambiente per identificare sandbox e ambienti di analisi
• Enumerazione di prodotti di sicurezza installati sul sistema target
• Flussi di controllo non standard per confondere gli strumenti di analisi automatica
• Tecniche anti-debugging per impedire l’analisi dinamica

Questi meccanismi permettono al malware di rimanere dormiente quando rileva la presenza di strumenti di sicurezza, attivandosi solo in ambienti considerati sicuri per l’operazione.

Implicazioni per la sicurezza informatica

La campagna di UAC-0184 rappresenta un significativo passo avanti nell’evoluzione delle minacce informatiche. La combinazione di social engineering sofisticato, abuso di strumenti legittimi e tecniche di occultamento avanzate crea un cocktail particolarmente pericoloso per le organizzazioni target.

Questa operazione dimostra come gli attaccanti moderni stiano abbandonando gli approcci più rozzi in favore di strategie che sfruttano la fiducia degli utenti e le caratteristiche native dei sistemi operativi. L’uso di file firmati digitalmente e strumenti Microsoft legittimi rende particolarmente challenging il rilevamento attraverso i metodi tradizionali di sicurezza informatica.

Le organizzazioni militari e governative devono quindi adottare approcci di sicurezza più sofisticati, che includano formazione avanzata del personale, monitoraggio comportamentale dei sistemi e implementazione di controlli di sicurezza multi-livello per contrastare efficacemente questo tipo di minacce evolute.