Producătorul global de soluții de securitate cibernetică Bitdefender avertizează asupra unei campanii de spionaj cibernetic în desfășurare, orchestrată de gruparea UAC-0063. Atacatorii vizează entități guvernamentale și diplomatice din Asia Centrală și Europa, inclusiv România.
CERT-UA (Instituția de Răspuns la Incidente de Securitate Cibernetică din Ucraina) atribuie UAC-0063 grupării ruse APT28 (BlueDelta), însă fără dovezi tehnice clare.
Deși atacatorii folosesc tactici similare cu cele ale APT28, nu există încă o confirmare definitivă.
Totuși, faptul că atacurile vizează entități diplomatice și guvernamentale din regiuni de interes pentru Rusia ridică semne de întrebare cu privire la posibila motivație geopolitică a acestor operațiuni.
UAC-0063 este o grupare specializată în spionaj cibernetic și furt de date sensibile. Activă încă din 2022, UAC-0063 a început să vizeze ținte din Asia Centrală, iar acum și-a extins activitatea și în Europa.
Printre ținte se numără ambasade și instituții guvernamentale din Germania, Olanda, Marea Britanie, Georgia și România.
Cum are loc atacul?
Atacatorii au dezvoltat o tehnică avansată de atac, bazată pe documente Word compromise.
Aceste fișiere sunt distribuite prin e-mailuri de tip phishing și conțin macro-uri infectate care, odată activate, instalează amenințări informatice pe dispozitivele victimelor.
În unele cazuri, atacatorii au reutilizat documente autentice furate anterior de la instituții diplomatice.
Atacul începe cu un e-mail de phishing ce conține un link către un document Word compromis. La deschiderea fișierului, utilizatorului i se cere să activeze macro-urile, o tehnică de inginerie socială care sugerează că acest pas este necesar pentru a vizualiza conținutul.
Odată activate, macro-urile declanșează instalarea amenințării informatice și, odată infectat, dispozitivul începe să transmită date către serverele atacatorilor și poate fi folosit pentru noi atacuri asupra altor ținte.
Atacurile UAC-0063 au fost confirmate și în România, unde au fost identificate tentative de infectare folosind variante mai sofisticate ale amenințării informatice.
În 4 aprilie 2024, o versiune compilată a acestuia, protejată prin tehnici avansate de camuflare a codului, a fost detectată pe un sistem din România.
