Il gruppo avanzato di minaccia persistente noto come UAC-0063 è stato recentemente osservato mentre sfruttava documenti legittimi, ottenuti infiltrandosi in un bersaglio, per attaccarne un altro. L'obiettivo di questi attacchi è la consegna di un malware noto come HATVIBE. In particolare, le operazioni di UAC-0063 si sono espanse oltre il loro focus iniziale sull'Asia centrale, prendendo di mira entità come ambasciate in vari paesi europei tra cui Germania, Regno Unito, Paesi Bassi, Romania e Georgia. Questo è stato riportato da Bitdefender, una nota azienda di sicurezza informatica.

Origini e scoperte iniziali

Il gruppo UAC-0063 è stato identificato per la prima volta dalla società di sicurezza rumena nel maggio 2023, in relazione a una campagna che colpiva enti governativi in Asia centrale con un malware per l'esfiltrazione di dati noto come DownEx. Si sospetta che UAC-0063 abbia legami con un noto attore sponsorizzato dallo stato russo chiamato APT28. Poche settimane dopo, il CERT-UA ha rivelato che il gruppo è operativo almeno dal 2021, attaccando organi di stato in Ucraina con strumenti come keylogger e script loader.

Espansione e operazioni recenti

Le indagini hanno rivelato che UAC-0063 ha preso di mira anche varie entità in Asia centrale, Asia orientale ed Europa, secondo il gruppo Insikt di Recorded Future, che ha dato al gruppo il nome di TAG-110. Recentemente, la società di sicurezza Sekoia ha scoperto che il gruppo ha utilizzato documenti rubati dal Ministero degli Esteri del Kazakistan per attacchi di spear-phishing, con l'obiettivo di distribuire il malware HATVIBE.

Strumenti e tattiche

Le scoperte di Bitdefender mostrano una continuazione di questo comportamento, con intrusioni che alla fine hanno aperto la strada a DownEx, DownExPyer e un nuovo esfiltratore di dati USB chiamato PyPlunderPlug, in almeno un incidente che ha colpito una società tedesca a metà gennaio 2023. DownExPyer possiede capacità varie per mantenere una connessione persistente con un server remoto, ricevere comandi per raccogliere dati, eseguire comandi e distribuire payload aggiuntivi. Il malware ha dimostrato una stabilità significativa nel tempo, un chiaro indicatore della sua maturità e della sua probabile lunga presenza all'interno dell'arsenale di UAC-0063.

Conclusioni

In sintesi, UAC-0063 rappresenta un gruppo di minaccia sofisticato, caratterizzato da capacità avanzate e da un obiettivo persistente verso le entità governative. Il loro arsenale, che include strumenti sofisticati come DownExPyer e PyPlunderPlug, unito a tattiche ben elaborate, dimostra un chiaro focus sull'espionaggio e la raccolta di intelligence, allineandosi con i potenziali interessi strategici russi.