Кибератака UAC-0056 на государственные организации Украины с использованием Cobalt Strike Beacon (CERT-UA#4914)
https://ru.depositphotos.com/
Правительственной командой реагирования на компьютерные чрезвычайные события Украины CERT-UA получена информация о распространении 05.07.2022 электронных писем с темой «Специализированной прокуратуры военной и оборонной сфере. Информация о наличии вакансий и их укомплектовании» и вложении в виде XLS-документа наличия вакансий и их укомплектование.xls». О ситуации сообщает Госспецсвязь.
Документ содержит макрос, активация которого приведет к созданию на компьютере и запуску файла «write.exe».
Указанный файл выполняет роль дропера, обеспечивая создание на диске файла «%PROGRAMDATA%\TRYxaEbX», его дешифрование (RC4) и последующий запуск PowerShell-скрипта. Кроме того, EXE-файл также обеспечивает собственную персистентность, создавая ключ «Check License» в ветке «Run» реестра Windows.
Полученный PowerShell-скрипт кроме обхода AMSI и отключение логирования событий для PowerShell обеспечит декодирование и декомпрессию данных в следующий PowerShell-скрипт, который, в свою очередь, обеспечит выполнение вредоносной программы Cobalt Strike Beacon.
Со средним уровнем уверенности проявленную активность ассоциируют с деятельностью группы UAC-0056, которая уже была причастна к кибератакам в Украине в апреле и марте.
Ранее мы писали про продвинутую хакерскую группировку, которая потратила почти два года, заражая широкий спектр маршрутизаторов в Северной Америке и Европе вредоносным ПО, получая полный контроль над подключенными устройствами под управлением Windows, macOS и Linux.
ЧИТАЙТЕ ТАКЖЕ:
- Эксперты рассказали, в каких ситуациях VPN бесполезен
- Биометрический платеж с помощью улыбки или взмаха руки: Mastercard представала новый сервис
- Алгоритмы Twitter манипулируют сознанием пользователей — Илон Маск
