Кібератака UAC-0056 на державні організації України з використанням Cobalt Strike Beacon (CERT-UA#4914)
https://ru.depositphotos.com/
Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA отримано інформацію про поширення 05.07.2022 електронних листів з темою “Спеціалізованої прокуратури військової та оборонної сфери. Інформація про наявність вакансій та їх укомплектування” та вкладення у вигляді XLS-документів наявності .xls”. Про ситуацію повідомляє команда Держспецзв’язку.
Документ містить макрос, активація якого призведе до створення на комп’ютері та запуску файлу “write.exe”.
Згаданий файл виконує роль дропера, забезпечуючи створення на диску файлу “%PROGRAMDATA%\TRYxaEbX”, його дешифрування (RC4) та подальший запуск PowerShell-скрипта. Крім того, EXE-файл також забезпечує власну персистентність, створюючи ключ “Check License” в гілці “Run” реєстру Windows.
Отриманий PowerShell-скрипт, окрім обходу AMSI та відключення логування подій для PowerShell, забезпечить декодування та декомпресію даних в наступний PowerShell-скрипт, який, у свою чергу, забезпечить виконання шкідливої програми Cobalt Strike Beacon.
З середнім рівнем впевненості виявлену активність асоціюємо з діяльністю групи UAC-0056, яка вже була причетна до кібератак в Україні у квітні та березні.
Раніше ми писали про хакерське угруповання, яке витратило майже два роки, заражаючи широкий спектр маршрутизаторів у Північній Америці та Європі шкідливим ПЗ, отримуючи повний контроль над підключеними пристроями під керуванням Windows, macOS та Linux.
ЧИТАЙТЕ ТАКОЖ:
Експерти розповіли, у яких ситуаціях VPN не допоможе
Біометричний платіж за допомогою усмішки або помаху руки: Mastercard представляла новий сервіс
Алгоритми Twitter маніпулюють свідомістю користувачів – Ілон Маск
