Кіберкоманда Держспецзв’язку CERT-UA виявили нові випадки хакерських атак на державні органи та підприємства оборонно-промислового комплексу. Усе починається з розсилки фішингових електронних листів, що часто маскуються під офіційні документи, наприклад, «судові повістки».
Кіберкоманда Держспецзв’язку CERT-UA виявили нові випадки хакерських атак на державні органи та підприємства оборонно-промислового комплексу. Усе починається з розсилки фішингових електронних листів, що часто маскуються під офіційні документи, наприклад, «судові повістки».
Атаки здійснює угруповання UAC-0099, яке суттєво оновило свій інструментарій і почало використовувати нові шкідливі програми MATCHBOIL, MATCHWOK і DRAGSTARE. Зловмисники застосовують багатоетапний ланцюг ураження, спрямований на викрадення даних та отримання віддаленого контролю над системами, повідомляє Держспецзв’язку.
Листи містять посилання (іноді скорочене) на легітимний файлообмінний сервіс. Перехід за ним ініціює завантаження ZIP-архіву, який містить шкідливий HTA-файл. Це початок багатоетапної атаки.
Виконання HTA-файлу запускає VBScript-код. Цей скрипт створює на комп’ютері жертви два файли: один з HEX-кодованими даними, інший — з PowerShell-кодом. Для забезпечення виконання цього коду створюється заплановане завдання. Наступний крок — PowerShell-скрипт декодує дані та формує з них виконуваний файл лоадера MATCHBOIL, який закріплюється в системі через власне заплановане завдання.
Дослідження CERT-UA виявило три нові зразки шкідливого програмного забезпечення:
MATCHBOIL — завдання програми доставити на уражений комп’ютер основне шкідливе навантаження. Збирає базову інформацію про систему (ID процесор, серійний номер BIOS, ім’я користувача, MAC-адресу) для ідентифікації жертви на сервері управління. Далі завантажує наступний компонент атаки, зберігає його як COM-файл та створює ключ у реєстрі для забезпечення його автоматичного запуску.
MATCHWOK — надає зловмисникам можливість віддалено виконувати довільні PowerShell-команди на ураженій системі. Команди надходять із сервера управління в зашифрованому вигляді та виконуються через інтерпретатор PowerShell, який програма попередньо перейменовує та переміщує. Бекдор має елементи антианалізу, зокрема перевіряє систему на наявність запущених процесів інструментів на кшталт Wireshark, Fiddler чи Procmon.
DRAGSTARE — виконує комплексний збір даних: системна інформація (ім’я комп’ютера, дані про ОС, процесори, пам’ять, диски, мережеві інтерфейси); а також дані браузерів — викрадає автентифікаційні дані (логіни, паролі, cookie) з Chrome та Firefox, використовуючи DPAPI для розшифрування; здійснює рекурсивний пошук на робочому столі, в документах та завантаженнях файлів з розширеннями .docx, .doc, .xls, .pdf, .ovpn, .rdp, .txt. знайдені файли архівуються та відправляються на сервер зловмисників.
