FIRMACHAGENT malware Ukrajnában
2024. augusztus 19-én a CERT-UA csapata új kiberbiztonsági figyelmeztetést adott ki CERT-UA#10742 címmel, amely az UAC-0020 hackercsoport, más néven Vermin újbóli megjelenéséről szól a kiberfenyegetések terén. Nevezetesen, néhány hónappal ezelőtt a Vermin „SickSync” kampányt indított az Ukrán Fegyveres Erők ellen a SPECTR malware használatával, amely szintén a csoport ellenfél arzenáljának egyik legfontosabb eszköze volt 2022 márciusának közepén az ukrán kormányzati és katonai ügynökségek ellen. A legutóbbi kampányban a támadó eszköztárból ismert SPECTR malware mellett a támadók a FIRMACHAGENT malware néven ismert újszerű támadó eszközt is használják. A fertőzés folyamata a kurszki fronton lévő hadifoglyok témáját kihasználó adathalász e-mailekkel kezdődik, amelyekbe egy rosszindulatú ZIP-archívumra mutató linket ágyaznak be. Az archívum egy „list_of_inactive_vice_chairs_kursk[.]chm” nevű CHM fájlt tartalmaz, amely egy JavaScript kódot tartalmazó HTML fájlt tartalmaz, amely egy obfuszkált PowerShell szkript végrehajtását indítja el. Ez utóbbit úgy tervezték, hogy letöltse a SPECTR kártevő komponenseit, amely érzékeny adatokat, például dokumentumokat, képernyőképeket vagy böngészőadatokat lop el, valamint letölti az új FIRMACHAGENT kártevőt is. Az új támadó eszköz fő funkciója az ellopott adatok feltöltése egy C2 szerverre. Emellett ütemezett feladatok beállítására is használják az „IDCLIPNET_x86.dll” nevű orchestrator futtatásához, amely a SPECTR bővítményeket és a FIRMACHAGENT-et kezeli.