UAC-0184: Malware-Kette nutzt bitsadmin und HTA-Dateien für gesteuerte Payload-Abgabe

Eine neu dokumentierte Angriffs-Kette, die dem Bedrohungsakteur UAC-0184 zugeordnet wird, nutzt das integrierte Windows-Tool bitsadmin sowie HTA-Dateien, um bösartige Payloads auf Zielsysteme zu schleusen.

Die Kampagne r Eine neu dokumentierte Angriffs-Kette, die dem Bedrohungsakteur UAC-0184 zugeordnet wird, nutzt das integrierte Windows-Tool bitsadmin sowie HTA-Dateien, um bösartige Payloads auf Zielsysteme zu schleusen.

Die Kampagne richtet sich primär gegen die Ukraine; eindeutige Indikatoren deuten auf militärische Ziele hin, darunter Personen, die mit den Streitkräften der Ukraine verbunden sind.

Das Maß an Handwerkskunst und Geduld,

Das Maß an Handwerkskunst und Geduld, das in jeder Phase dieser Infektionskette zum Einsatz kommt, unterscheidet sie, weniger disziplinierten Kampagnen, die kürzlich aufgetaucht sind.

Die Angreifer verwenden -Engineering-Locken, die Themen wie Strafverfahren, Kampfvideos und Anfragen nach persönlichem Kontakt aufgreifen, um Opfer dazu zu bringen, bösartige Dateien zu öffnen.

Sobald ein Opfer die mit einer Falle versehene Datei öffnet – sei es als PDF, Word-Dokument oder Excel-Tabelle – lädt bitsadmin im Hintergrund stillschweigend eine HTA-Datei Remote-Server herunter.

Die HTA-Datei wird anschliessend mit mshta.exe ausgeführt, wodurch die Infektion vorangetrieben wird, ohne auf der kompromittierten Maschine sofort Alarm auszulösen. Analysten einem Bericht, der an