Ми запускаємо розсилку про українське IT-ком’юніті. Залиште email, аби розуміти більше. Прем’єра — скоро!
Дякую! На вказану адресу надіслано листа для підтвердження підписки.
HOT від «Стас IT-глаз» — відео про міграцію айтішників

Чергова кібератака на держустанови відбулася під виглядом вакансій і вкомплектування військових від шкідника Cobalt Strike Beacon

Зловмисники розсилали держустановам електронні листи, що містили макрос, який активував шкідника Cobalt Strike Beacon. Про це повідомляє  CERT-UA.

Залишити коментар
Чергова кібератака на держустанови відбулася під виглядом вакансій і вкомплектування військових від шкідника Cobalt Strike Beacon

Зловмисники розсилали держустановам електронні листи, що містили макрос, який активував шкідника Cobalt Strike Beacon. Про це повідомляє  CERT-UA.

Електронні листи мали тему «Спеціалізована прокуратура у військовій та оборонній сфері. Інформація щодо наявності вакансій і їхнього вкомплектування» та вкладення з XLS-документом «Інформація щодо наявності вакансій і їхнього вкомплектування.xls».

фото CERT-UA

У разі відкриття документа активувався макрос, що створював і запускав на комп’ютері файл «write.exe».

Він виконує роль дропера, забезпечуючи створення на диску файл «%PROGRAMDATA%\TRYxaEbX», його дешифрування (RC4) і подальший запуск PowerShell-скрипта. Крім того, EXE-файл також забезпечує власну персистентність, створюючи ключ «Check License» в гілці «Run» реєстру Windows.

Отриманий PowerShell-скрипт, окрім обходу AMSI та відключення логування подій для PowerShell, забезпечить декодування та декомпресію даних у наступний PowerShell-скрипт, який своєю чергою забезпечить виконання шкідливої програми Cobalt Strike Beacon.

Урядова команда реагування із середнім рівнем упевненості асоціює кіберзлочинців із діяльністю групи UAC-0056 (Pandora hVNC, RemoteUtilities, GrimPlant, GraphSteel).

Спеціалісти з кібербезпеки для захисту рекомендують заборонити можливість створення небезпечних дочірніх процесів з офісних програм (наприклад, https://support.eset.com/en/kb6119-configure-hips-rules-for-eset-business-products-to-protect-against-ransomware).

Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
По темi
Читайте головні IT-новини країни в нашому Telegram
«Безславні виродки». Як ІТ-армія тролить ФСБшників та набирає хакерів серед інфоциган
«Безславні виродки». Як ІТ-армія тролить ФСБшників та набирає хакерів серед інфоциган
По темi
«Безславні виродки». Як ІТ-армія тролить ФСБшників та набирає хакерів серед інфоциган
Стати хакером може кожен. 10 курсів з кібербезпеки від міжнародних онлайн платформ
Стати хакером може кожен. 10 курсів з кібербезпеки від міжнародних онлайн платформ
По темi
Стати хакером може кожен. 10 курсів з кібербезпеки від міжнародних онлайн платформ
Війна світів. Тисячі хакерів в світі воюють на кіберфронті: хто з них на боці України, а хто - проти нас?
Війна світів. Тисячі хакерів в світі воюють на кіберфронті: хто з них на боці України, а хто — проти нас?
По темi
Війна світів. Тисячі хакерів в світі воюють на кіберфронті: хто з них на боці України, а хто — проти нас?
Як працюють нейронки, що створюють зображення та що вони вміють.

Читайте і гадайте, чи не вб’ють нейромережі мистецтво.

Ми запускаємо розсилку про українське IT-ком’юніті. Залиште email, аби розуміти більше. Прем’єра — скоро!
Дякую! На вказану адресу надіслано листа для підтвердження підписки.
Читайте також
Проросійські хакери Killnet оголосили «війну» 10 державам, які підтримують Україну. Що про це пише Wired
Проросійські хакери Killnet оголосили «війну» 10 державам, які підтримують Україну. Що про це пише Wired
Проросійські хакери Killnet оголосили «війну» 10 державам, які підтримують Україну. Що про це пише Wired
Випадково відкрив посилання з вірусом. Що робити? Ось інструкція
Випадково відкрив посилання з вірусом. Що робити? Ось інструкція
Випадково відкрив посилання з вірусом. Що робити? Ось інструкція
США ліквідували російський ботнет RSOCKS. Він торгував IP-адресами зламаних пристроїв
США ліквідували російський ботнет RSOCKS. Він торгував IP-адресами зламаних пристроїв
США ліквідували російський ботнет RSOCKS. Він торгував IP-адресами зламаних пристроїв
Мережа «Планета Кіно» опинилася під ударом російських хакерів. Ймовірна мета – зірвати фестиваль українських фільмів
Мережа «Планета Кіно» опинилася під ударом російських хакерів. Ймовірна мета – зірвати фестиваль українських фільмів
Мережа «Планета Кіно» опинилася під ударом російських хакерів. Ймовірна мета – зірвати фестиваль українських фільмів

Хочете повідомити важливу новину? Пишіть у Telegram-бот

Головні події та корисні посилання в нашому Telegram-каналі

Обговорення
Коментарів поки немає.