CERT-UA cho rằng chiến dịch tấn công được thực hiện bởi nhóm tin tặc UAC-0027. Phần mềm độc hại DirtyMoe xuất hiện sớm nhất từ ​​năm 2016 và được triển khai bằng nhiều bộ công cụ khác nhau như PurpleFox hoặc trình cài đặt Telegram được chèn vào yêu cầu sự tương tác của người dùng. Đặc biệt, DirtyMoe có khả năng thực hiện các cuộc tấn công mã hóa, tấn công từ chối dịch vụ phân tán (DDoS) và khai thác tiền điện tử.

DirtyMoe thực thi dưới dạng dịch vụ Windows với các đặc quyền hệ thống thông qua EternalBlue (mã khai thác thông tin được phát triển bởi Cục An ninh Quốc gia Mỹ - NSA) và ít nhất ba hoạt động khai thác khác. Theo công ty an ninh mạng Avast (Cộng hòa Séc), chức năng cụ thể này được điều khiển từ xa bởi tác giả phần mềm độc hại, những người có thể cấu hình lại hàng nghìn phiên bản DirtyMoe để đạt được các chức năng mong muốn trong vòng vài giờ. Vào tháng 3/2022, Avast cũng đã tiết lộ khả năng lây nhiễm của DirtyMoe với các đặc điểm của Worm bằng cách lợi dụng các lỗi bảo mật đã được công bố.

Theo các nhà nghiên cứu của CERT-UA, botnet DDoS trong chiến dịch lây nhiễm DirtyMoe được phát tán thông qua Purple Fox hoặc các gói cài đặt MSI giả mạo cho các phần mềm phổ biến như Telegram. Purple Fox cũng được trang bị rootkit cho phép kẻ tấn công che giấu phần mềm độc hại trên máy mục tiêu và gây khó khăn cho việc phát hiện cũng như loại bỏ.

Điều đáng chú ý, DirtyMoe có chức năng tự lan truyền bằng cách thu thập dữ liệu xác thực hoặc khai thác một số lỗ hổng liên quan đến các máy tính nằm trong mạng cục bộ và các máy tính dựa trên danh sách địa chỉ IP được tạo bởi một thuật toán cụ thể, tùy thuộc vào địa chỉ IP công cộng của mục tiêu.

Để đảm bảo khả năng chịu lỗi (Fault Tolerance) trong giao tiếp với cơ sở hạ tầng điều khiển, ít nhất ba phương pháp khai thác được các tin tặc sử dụng, một trong số đó có liên quan đến việc lấy giá trị bản ghi A cho các tên miền được xác định bằng cả máy chủ DNS cục bộ và bên ngoài, bao gồm: 8.8.8.8 ; 1.1.1.1 ; 114.114.114.114 và 119.29.29.29. Ngoài ra, các địa chỉ IP được lưu trữ trong registry của hệ điều hành và những địa chỉ có được thông qua truy vấn DNS đều bị xáo trộn.

CERT-UA cho biết họ đã xác định được 486 địa chỉ IP của các máy chủ kiểm soát trung gian trong khoảng thời gian từ ngày 20 đến ngày 31/01/2024, phần lớn trong số đó có liên quan đến các thiết bị phần cứng bị xâm nhập ở Trung Quốc. Đồng thời, CERT-UA cũng khuyến nghị các tổ chức nên cập nhật bản vá bảo mật đối với các hệ thống chủ quản và giám sát lưu lượng truy cập mạng để phát hiện bất kỳ hoạt động bất thường nào.

Tiết lộ này được đưa ra khi hãng bảo mật Securonix (Mỹ) trình bày chi tiết về một chiến dịch lừa đảo đang diễn ra có tên là STEADY#URSA để cung cấp backdoor PowerShell SUBTLE-PAWS, với mục tiêu nhắm vào các cơ quan thuộc Quân đội Ukraine.