Підрозділ американської компанії, що спеціалізується на кібербезпеці, Fortinet FortiGuard Labs помітила багатоетапну кібератаку, яка спрямована на Україну, з метою розгортання Cobalt Strike та захоплення контролю над скомпрометованими комп’ютерами. Ланцюжок атак включає файл Microsoft Excel, який містить вбудований макрос VBA для ініціювання зараження.
Підрозділ американської компанії, що спеціалізується на кібербезпеці, Fortinet FortiGuard Labs помітила багатоетапну кібератаку, яка спрямована на Україну, з метою розгортання Cobalt Strike та захоплення контролю над скомпрометованими комп’ютерами. Ланцюжок атак включає файл Microsoft Excel, який містить вбудований макрос VBA для ініціювання зараження.
«Зловмисник використовує багатоступеневу стратегію шкідливого програмного забезпечення для доставки Cobalt Strike і встановлення зв’язку з командно-контрольним сервером (C2)», — повідомила дослідниця безпеки Кара Лін у своєму звіті в понеділок. «Ця атака використовує різні методи ухилення, щоб забезпечити успішну доставку корисного навантаження».
Cobalt Strike, розроблений і підтримуваний компанією Fortra, є законним інструментарієм для моделювання противника, який використовується для операцій «червоних команд». Однак протягом багатьох років зловмисники активно використовували зламані версії цього програмного забезпечення у зловмисних цілях, пише The Hacker News.
Відправною точкою атаки є документ Excel, який при запуску відображає вміст українською мовою та закликає жертву «Увімкнути вміст», щоб активувати макроси. Варто зазначити, що з липня 2022 року Microsoft заблокувала макроси в Microsoft Office за замовчуванням.
Після ввімкнення макросів у документі нібито відображається вміст, пов’язаний з кількістю коштів, виділених військовим частинам, тоді як у фоновому режимі макрос, закодований у HEX-коді, розгортає завантажувач на основі DLL через утиліту сервера реєстру (regsvr32).
Невидимий завантажувач відстежує запущені процеси на предмет наявності процесів, пов’язаних з Avast Antivirus і Process Hacker, і негайно завершує свою роботу, якщо виявляє їх.
Якщо такого процесу не виявлено, він звертається до віддаленого сервера, щоб отримати закодоване корисне навантаження наступного етапу, але тільки якщо відповідний пристрій знаходиться в Україні. Декодований файл — це DLL, який відповідає за запуск іншого DLL-файлу, інжектора, що має вирішальне значення для вилучення та запуску кінцевого шкідливого програмного забезпечення.
Процедура атаки завершується розгортанням Cobalt Strike Beacon, який встановлює контакт із сервером C2 («simonandschuster[.]shop»).
«Впроваджуючи перевірки на основі місцеперебування під час завантаження корисного навантаження, зловмисник прагне замаскувати підозрілу активність, потенційно вислизаючи від уваги аналітиків», — сказала Лін. «Використовуючи закодовані рядки, VBA приховує важливі рядки імпорту, полегшуючи розгортання DLL-файлів для збереження та розшифрування подальшого корисного навантаження».
«Крім того, функція самознищення сприяє тактиці ухилення, в той час, як інжектор DLL використовує тактику затримки й завершує батьківські процеси, щоб уникнути пісочниці та механізмів захисту від налагодження відповідно», — додала дослідниця Fortinet FortiGuard Labs.
