
Kelompok ancaman persisten canggih (apt) yang dikenal sebagai UAC-0063 telah diamati memanfaatkan dokumen -dokumen sah yang diperoleh dengan menyusup ke seorang korban untuk menyerang target lain dengan tujuan memberikan malware yang diketahui dijuluki Hatvibe.
“Penelitian ini berfokus pada menyelesaikan gambaran operasi UAC-0063, khususnya mendokumentasikan ekspansi mereka di luar fokus awal mereka pada Asia Tengah, entitas yang menargetkan seperti kedutaan di berbagai negara Eropa, termasuk Jerman, Inggris, Belanda, Rumania, dan Georgia, “Martin Zugec, Direktur Solusi Teknis di Bitdefender, mengatakan dalam sebuah laporan yang dibagikan dengan The Hacker News.
UAC-0063 pertama kali ditandai oleh perusahaan cybersecurity Rumania pada Mei 2023 sehubungan dengan kampanye yang menargetkan entitas pemerintah di Asia Tengah dengan malware exfiltration data yang dikenal sebagai Downex (alias Stillarch). Dugaan berbagi tautan dengan aktor yang disponsori negara Rusia yang dikenal bernama APT28.

Hanya berminggu-minggu kemudian, tim tanggap darurat komputer Ukraina (cert-ua)-yang menugaskan gugus ancaman moniker-mengungkapkan bahwa kelompok peretasan telah beroperasi sejak setidaknya 2021, menyerang badan-badan negara di negara itu dengan Keylogger (logpie) , loader skrip aplikasi HTML (HATVIBE), backdoor python (cherryspy atau downexpyer), dan downex.
Ada bukti bahwa UAC-0063 juga telah menargetkan berbagai entitas dalam organisasi di Asia Tengah, Asia Timur, dan Eropa, menurut kelompok Insikt Future yang direkam, yang telah menetapkan aktor ancaman nama TAG-110.
Awal bulan ini, perusahaan cybersecurity Sekoia mengungkapkan bahwa mereka mengidentifikasi kampanye yang dilakukan oleh kru peretasan yang melibatkan penggunaan dokumen yang dicuri dari Kementerian Luar Negeri Republik Kazakhstan ke target tombak-phish dan mengirimkan malware Hatvibe.
Temuan terbaru dari Bitdefender menunjukkan kelanjutan dari perilaku ini, dengan intrusi pada akhirnya membuka jalan bagi Downex, Downexpyer, dan exfiltrator data USB yang baru ditemukan dengan nama Pyplunderplug dalam setidaknya satu insiden yang menargetkan perusahaan Jerman pada pertengahan Januari 2023.

Downexpyer dilengkapi dengan berbagai kemampuan untuk mempertahankan koneksi yang persisten dengan server jarak jauh dan menerima perintah untuk mengumpulkan data, menjalankan perintah, dan menggunakan muatan tambahan. Daftar tugas yang diperoleh dari server perintah-dan-kontrol (C2) di bawah ini-
- A3 – File ExFiltrate yang cocok dengan seperangkat ekstensi tertentu dengan C2
- A4 – file exfiltrate dan log keystroke ke C2 dan menghapusnya setelah transmisi
- A5 – Jalankan perintah (secara default fungsi “SystemInfo” dipanggil untuk memanen informasi sistem)
- A6 – Hitung Sistem File
- A7 – Ambil tangkapan layar
- A11 – Menghentikan tugas berjalan lain

“Stabilitas fungsi inti Downexpyer selama dua tahun terakhir adalah indikator yang signifikan dari kematangannya dan kemungkinan kehadiran lama dalam arsenal UAC-0063,” jelas Zugec. “Stabilitas yang diamati ini menunjukkan bahwa downexpyer kemungkinan sudah beroperasi dan disempurnakan sebelum 2022.”
Bitdefender mengatakan itu juga mengidentifikasi skrip Python yang dirancang untuk merekam penekanan tombol – kemungkinan prekursor untuk logpie – di salah satu mesin yang dikompromikan yang terinfeksi dengan downex, downexpyer, dan Hatvibe.
“UAC-0063 mencontohkan kelompok aktor ancaman canggih yang ditandai oleh kemampuan canggih dan penargetan yang terus-menerus dari entitas pemerintah,” kata Zugec.
“Arsenal mereka, yang menampilkan implan canggih seperti Downexpyer dan Pyplunderplug, dikombinasikan dengan TTP yang dibuat dengan baik, menunjukkan fokus yang jelas pada spionase dan pengumpulan intelijen. Penargetan entitas pemerintah dalam wilayah tertentu selaras dengan kepentingan strategis Rusia yang potensial.”