Hackerii UAC-0063 Extind Atacurile Cibernetice Asupra Ambasadelor din Europa, Inclusiv România

Grupul de hackeri UAC-0063, un actor avansat de amenințări persistente (APT), și-a extins atacurile cibernetice asupra ambasadelor din mai multe țări europene, printre care Germania, Marea Britanie, Olanda, Georgia și România. Conform unei cercetări realizate de Bitdefender, atacatorii reutilizează documente furate pentru a compromite noi ținte și a livra malware periculos precum HATVIBE și DownExPyer.

Modul de Operare al UAC-0063

UAC-0063 este activ cel puțin din 2022, fiind detectat inițial în atacuri asupra entităților guvernamentale din Asia Centrală. Recent, grupul și-a schimbat strategia, concentrându-se pe instituții diplomatice și guvernamentale din Europa. Bitdefender a identificat activități suspecte și tentative de compromitere a instituțiilor diplomatice din România, ceea ce indică un interes special pentru informațiile locale.

Hackerii utilizează documente autentice furate pentru a înșela victimele, convingându-le să deschidă fișiere Word infectate. Odată accesate, aceste fișiere declanșează instalarea de malware, oferindu-le atacatorilor acces la sistemele informatice ale instituțiilor țintă. În acest mod, UAC-0063 poate exfiltra date confidențiale și folosi dispozitivele infectate pentru a lansa noi atacuri asupra altor entități.

Malware-ul Utilizat în Atacuri

Experții Bitdefender au identificat mai multe tipuri de malware utilizate de UAC-0063:

• HATVIBE – un loader de scripturi care facilitează instalarea altor amenințări cibernetice;
• DownEx și DownExPyer – malware specializat în exfiltrarea datelor confidențiale;
• PyPlunderPlug – un nou malware descoperit recent, utilizat pentru furtul datelor de pe dispozitive USB. Acesta a fost identificat într-un atac asupra unei companii din Germania în ianuarie 2023.

Aceste programe pot fura fișiere specifice, înregistra ecranul utilizatorului, captura apăsările de taste și executa comenzi de la distanță, oferindu-le atacatorilor control total asupra sistemelor compromise.

Posibile Conexiuni cu Grupul APT28

CERT-UA sugerează că UAC-0063 ar putea avea legături cu APT28, un grup cunoscut pentru operațiuni de spionaj cibernetic în interesul Rusiei. Deși nu există dovezi tehnice concludente, tiparul atacurilor și țintele vizate – în special instituțiile diplomatice din Europa de Est – susțin această ipoteză.

Măsuri de Protecție Recomandate

Specialiștii în securitate cibernetică recomandă instituțiilor guvernamentale și diplomatice să implementeze măsuri stricte de securitate pentru a preveni astfel de atacuri:

• Dezactivarea macro-urilor în documentele Office, deoarece acestea pot fi utilizate pentru rularea codului malițios;
• Utilizarea soluțiilor avansate de securitate pentru a detecta și bloca tentativele de phishing;
• Instruirea angajaților pentru recunoașterea atacurilor de tip phishing și a altor metode de inginerie socială;
• Monitorizarea traficului de rețea pentru a identifica activități suspecte;
• Implementarea autentificării multi-factor (MFA) pentru a reduce riscul de acces neautorizat.

Într-o lume în care atacurile cibernetice devin din ce în ce mai sofisticate, protejarea informațiilor sensibile este o prioritate absolută. Instituțiile din România și din Europa trebuie să își consolideze securitatea IT pentru a preveni eventualele breșe cauzate de grupuri de hackeri precum UAC-0063.
Sursa