De geavanceerde persistent dreigings (APT) groep bekend als UAC-0063 is waargenomen met behulp van legitieme documenten verkregen door het infiltreren van het ene slachtoffer om een ander doelwit aan te vallen met als doel een bekende malware te leveren, genaamd Hatvibe.
“Dit onderzoek richt zich op het voltooien van het beeld van de activiteiten van UAC-0063, met name het documenteren van hun uitbreiding buiten hun eerste focus op Centraal-Azië, gericht op entiteiten zoals ambassades in meerdere Europese landen, waaronder Duitsland, het VK, Nederland, Roemenië en Georgië, “Martin Zugec, directeur van Technical Solutions bij Bitdefender, zei in een rapport gedeeld met The Hacker News.
UAC-0063 werd voor het eerst gemarkeerd door het Roemeense cybersecuritybedrijf in mei 2023 in verband met een campagne die gericht was op overheidsentiteiten in Centraal-Azië met een gegevensuitvoermalware die bekend staat als Downex (AKA Stillarch). Het wordt vermoedelijk om banden te delen met een bekende door de Russische door de staat gesponsorde acteur genaamd APT28.
Slechts weken later onthulde het Computer Emergency Response Team van Oekraïne (Cert-UA)-dat het dreigingscluster de naam The Booger heeft toegewezen-dat de hackgroep sinds minstens 2021 operationeel is en staatsorganen in het land aanvallen met een keylogger (Logpie) , een HTML -applicatiescriptlader (Hatvibe), een Python Backdoor (Cherryspy of Downexper) en Downex.
Er zijn aanwijzingen dat UAC-0063 ook op verschillende entiteiten in organisaties in Centraal-Azië, Oost-Azië en Europa zich heeft gericht, volgens de Insikt Group van Recorded Future, die de dreigingsacteur de naam TAG-110 heeft toegewezen.
Eerder deze maand onthulde cybersecuritybedrijf Sekoia dat het een campagne identificeerde die werd uitgevoerd door de hackploeg waarbij documenten werden gebruikt die zijn gestolen uit het ministerie van Buitenlandse Zaken van de Republiek Kazachstan om doelen te speren en de Hatvibe Malware te leveren.
De nieuwste bevindingen van Bitdefender demonstreren een voortzetting van dit gedrag, waarbij de intrusies uiteindelijk de weg vrijmaken voor Downex, Downexper en een nieuw ontdekte USB-gegevens Exfiltrator Codenamed PyplunderPlug in ten minste één incident op een Duits bedrijf in half-januari 2023.
Downexper wordt uitgerust met verschillende mogelijkheden om een persistente verbinding met een externe server te onderhouden en commando’s te ontvangen om gegevens te verzamelen, commando’s uit te voeren en extra payloads te implementeren. De lijst met taken verkregen van de opdracht-en-control (C2) -server is hieronder-
- A3 – Exfiltrate -bestanden die overeenkomen met een specifieke set extensies met C2
- A4 – Exfiltrate -bestanden en toetsaanslaglogboeken naar C2 en verwijder ze na verzending
- A5 – Commando’s uitvoeren (standaard wordt de functie “SystemInfo” opgeroepen om systeeminformatie te oogsten)
- A6 – Geef het bestandssysteem op
- A7 – Maak screenshots
- A11 – Beëindig nog een taak
“De stabiliteit van de kernfunctionaliteiten van Downexper in de afgelopen twee jaar is een belangrijke indicator voor de volwassenheid en waarschijnlijk langdurige aanwezigheid binnen het UAC-0063-arsenaal,” legde Zugec uit. “Deze waargenomen stabiliteit suggereert dat downexpyer waarschijnlijk al operationeel en verfijnd was vóór 2022.”
Bitdefender zei dat het ook een Python -script identificeerde dat is ontworpen om toetsaanslagen op te nemen – waarschijnlijk een voorloper van Logpie – op een van de gecompromitteerde machines die was geïnfecteerd met Downex, Downexper en Hatvibe.
“UAC-0063 is een voorbeeld van een geavanceerde dreigingsacteur Group die wordt gekenmerkt door haar geavanceerde mogelijkheden en aanhoudende targeting van overheidsentiteiten,” zei Zugec.
“Hun arsenaal, met geavanceerde implantaten zoals Downexpyer en Pyplunderplug, gecombineerd met goed gemaakte TTP’s, toont een duidelijke focus op spionage en inlichtingenvergadering. De targeting van overheidsentiteiten binnen specifieke regio’s in overeenstemming met potentiële Russische strategische belangen.”
