O ator de ameaças afiliado à bielorrússia UAC-0057, também conhecido como UNC1151, Frostyneighbor, ou escritor fantasma, tem usado arquivos armas que contêm PDFs falsos que estão posando como convites e documentos oficiais para direcionar organizações na Polônia e na Ucrânia em uma campanha cibernética em campanha de espaço cibernético.
Desde abril de 2025, essas operações utilizaram arquivos compactados, como rar e arquivos zip, para fornecer cadeias de infecção que exploram Microsoft Excel Planilhas com macros VBA incorporadas.
Essas macros, geralmente ofuscadas usando ferramentas como Macropack, soltar e executar implantes de DLL maliciosos projetados para reconhecimento do sistema e implantação adicional da carga útil.
Espionagem cibernética da Europa Oriental
As campanhas exibem semelhanças impressionantes às atividades anteriores do UAC-0057, incluindo o reaproveitamento de conteúdo legítimo para chamarizes, como um convite para PDF para a União dos Municípios Rurais da República da República da Polônia, as instruções do Serviço de Governo Digital da Polônia.
Ao alavancar esses PDFs aparentemente inócuos como iscas nos arquivos, os atacantes pretendem evitar a detecção inicial enquanto iniciam os fluxos de execução que coletam informações sensíveis ao host, estabelecem persistência e buscam malware do próximo estágio a partir de comando e controle (C2) servidores.
Essa abordagem se alinha ao foco histórico do UAC-0057 em operações de influência e espionagem, geralmente incorporando narrativas anti-ONA, e reflete pequenas evoluções em seu conjunto de ferramentas, como a transição para C2 hospedada em serviços por meio de serviços como Slack e Domains Reperseverated protegidos pelo Cloudflare.
Mecanismos detalhados de infecção
The infection chains targeting Ukraine, observed from May to July 2025, involve archives like “Список на перевірку 2025-2026.rar” and “ПЛАН наповнення СФ_ЗМІНЕНИЙ.zip,” which contain XLS files with VBA macros that decrypt and drop Dlls C# obscados em confuserex.
Esses implantes, como “DefenderProtectionScope.log” ou “sdw9gobh0n.log”, usam consultas WMI para coletar detalhes do sistema operacional, nome do host, informações da CPU, produtos antivírus e dados externos de IP por meio de solicitações para “ip-info.ff.avast.com”.
Persistence is achieved through registry keys like HKCUSoftwareMicrosoftWindowsCurrentVersionRun, and payloads are retrieved from C2 URLs mimicking legitimate sites, such as “sweetgeorgiayarns.online/wp-content/uploads/2025/04/06102226/Kims-hand-cards.jpg.”
Nas cadeias direcionadas a poloneses de abril e maio de 2025, macros XLS semelhantes soltam as DLLs C ++ embaladas com UPX, como “sdxhelp.dll”, que empregam tarefas agendadas para perseguição e XOR-Decrypt Cargas salariais anexadas a arquivos JPEG da Benign.
De acordo com o Harfang Labs relatórioalgumas variantes levam a um ataque de cobalto que se comunica com domínios como “medpagetoday.icu”.
As sobreposições incluem segmentos de código reutilizados, lógica de execução idêntica envolvendo arquivos LNK e ferramentas como Regsvr32.exe ou runDll32.exe, e padrões de infraestrutura como os domínios registrados .i-registro de publicação pública como “Punandjokes.com.”
A atribuição ao UAC-0057 é apoiada por paralelos com relatórios de Mandiant, SentineLone e Cert-UA, incluindo ofuscação de Macropack, webhooks Slack para C2 e direcionamento consistente das entidades da Europa Oriental.
Apesar das evoluções como a integração do Slack e o TLD muda de .Shop para .iCU/.Online, o ator mantém táticas disciplinadas de baixa sofisticação que priorizam a continuidade operacional sobre furtividade avançada, sugerindo ameaças contínuas para a Ucrânia, a Polônia e a Europa potencialmente mais ampla.
Essas campanhas destacam a metodologia adaptável e previsível do UAC-0057, misturando engenharia social com exploração técnica para facilitar a exfiltração de dados e a implantação do implante.
Os defensores devem monitorar execuções de macro anômalas, modificações incomuns de registro e tráfego para domínios .iCU suspeitos para mitigar os riscos.
Indicadores de compromisso (IOCs)
| Tipo | Indicador | Descrição |
|---|---|---|
| Hash (SHA-256) | 5DF1E1D67B92E2BBA8641561AF9967E3A54EC73600283C66B09C8165DDCB7DE9 | Arquivo, Ucrânia Campanha, julho de 2025 |
| Hash (SHA-256) | 699C50014CDBE919855C25EB35B15DFC8E64F73945187DA41D985A9D7BE31A71 | Arquivo, Ucrânia Campanha, julho de 2025 |
| Hash (SHA-256) | A2A2F0281EED6EC758130D2F2B2B5D4F578AC90605F7E16A07428316C9F6424E | DLL, Ucrânia Campanha, julho de 2025 |
| Hash (SHA-256) | 5FA19AA32776B6AB45A99A851746FBE189F7A668DAF82F3965225C1A2F8B9D36 | DLL, Campanha da Polônia, maio de 2025 |
| Domínio | sweetgeorgiayarns.online | Campanha de domínio C2, Ucrânia, julho de 2025 |
| Domínio | TaskAndpurpose.icu | Domínio C2, campanha da Polônia, maio de 2025 |
| Url | hxxps: // sweetgeorgiayarns[.]online/wp-content/uploads/2025/04/06102226/kims-handcards.jpg | Campanha C2 URL, Ucrânia, julho de 2025 |
| Url | hxxps: // taskandpurpose[.]UTI/HEWS/Coast-Guard-0reg0n-c0ncrete.jpg | C2 URL, Campanha da Polônia, maio de 2025 |
| Caminho do arquivo | %LocalAppData% sdxhelp sdxhelp.dll | Downloader C ++, Campanha da Polônia, maio de 2025 |
| Chave de registro | HKCU Software Microsoft Windows CurrentVersion Run Audio Driver | Campanha de persistência, Ucrânia, julho de 2025 |
| Tarefa programada | Updatesdx | Persistência, Campanha da Polônia, maio de 2025 |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!