Зловмисники розсилали держустановам електронні листи, що містили макрос, який активував шкідника Cobalt Strike Beacon. Про це повідомляє CERT-UA.
Електронні листи мали тему «Спеціалізована прокуратура у військовій та оборонній сфері. Інформація щодо наявності вакансій і їхнього вкомплектування» та вкладення з XLS-документом «Інформація щодо наявності вакансій і їхнього вкомплектування.xls».
фото CERT-UA
У разі відкриття документа активувався макрос, що створював і запускав на комп’ютері файл «write.exe».
Він виконує роль дропера, забезпечуючи створення на диску файл «%PROGRAMDATA%\TRYxaEbX», його дешифрування (RC4) і подальший запуск PowerShell-скрипта. Крім того, EXE-файл також забезпечує власну персистентність, створюючи ключ «Check License» в гілці «Run» реєстру Windows.
Отриманий PowerShell-скрипт, окрім обходу AMSI та відключення логування подій для PowerShell, забезпечить декодування та декомпресію даних у наступний PowerShell-скрипт, який своєю чергою забезпечить виконання шкідливої програми Cobalt Strike Beacon.
Урядова команда реагування із середнім рівнем упевненості асоціює кіберзлочинців із діяльністю групи UAC-0056 (Pandora hVNC, RemoteUtilities, GrimPlant, GraphSteel).
Спеціалісти з кібербезпеки для захисту рекомендують заборонити можливість створення небезпечних дочірніх процесів з офісних програм (наприклад, https://support.eset.com/en/kb6119-configure-hips-rules-for-eset-business-products-to-protect-against-ransomware).