👁️👁️ 300 000 криптанів встановили собі Trustee Plus - гаманець з криптокарткою. Чого чекаєш ти? 👉

Хакери атакують українців за допомогою макросу MS Excel. Як працює складна схема кібератаки

Підрозділ американської компанії, що спеціалізується на кібербезпеці, Fortinet FortiGuard Labs помітила багатоетапну кібератаку, яка спрямована на Україну, з метою розгортання Cobalt Strike та захоплення контролю над скомпрометованими комп’ютерами. Ланцюжок атак включає файл Microsoft Excel, який містить вбудований макрос VBA для ініціювання зараження.

Залишити коментар
Хакери атакують українців за допомогою макросу MS Excel. Як працює складна схема кібератаки

Підрозділ американської компанії, що спеціалізується на кібербезпеці, Fortinet FortiGuard Labs помітила багатоетапну кібератаку, яка спрямована на Україну, з метою розгортання Cobalt Strike та захоплення контролю над скомпрометованими комп’ютерами. Ланцюжок атак включає файл Microsoft Excel, який містить вбудований макрос VBA для ініціювання зараження.

«Зловмисник використовує багатоступеневу стратегію шкідливого програмного забезпечення для доставки Cobalt Strike і встановлення зв’язку з командно-контрольним сервером (C2)», — повідомила дослідниця безпеки Кара Лін у своєму звіті в понеділок. «Ця атака використовує різні методи ухилення, щоб забезпечити успішну доставку корисного навантаження».

Джерело: The Hacker News

Cobalt Strike, розроблений і підтримуваний компанією Fortra, є законним інструментарієм для моделювання противника, який використовується для операцій «червоних команд». Однак протягом багатьох років зловмисники активно використовували зламані версії цього програмного забезпечення у зловмисних цілях, пише The Hacker News.

Відправною точкою атаки є документ Excel, який при запуску відображає вміст українською мовою та закликає жертву «Увімкнути вміст», щоб активувати макроси. Варто зазначити, що з липня 2022 року Microsoft заблокувала макроси в Microsoft Office за замовчуванням.

Після ввімкнення макросів у документі нібито відображається вміст, пов’язаний з кількістю коштів, виділених військовим частинам, тоді як у фоновому режимі макрос, закодований у HEX-коді, розгортає завантажувач на основі DLL через утиліту сервера реєстру (regsvr32).

Невидимий завантажувач відстежує запущені процеси на предмет наявності процесів, пов’язаних з Avast Antivirus і Process Hacker, і негайно завершує свою роботу, якщо виявляє їх.

Якщо такого процесу не виявлено, він звертається до віддаленого сервера, щоб отримати закодоване корисне навантаження наступного етапу, але тільки якщо відповідний пристрій знаходиться в Україні. Декодований файл — це DLL, який відповідає за запуск іншого DLL-файлу, інжектора, що має вирішальне значення для вилучення та запуску кінцевого шкідливого програмного забезпечення.

Процедура атаки завершується розгортанням Cobalt Strike Beacon, який встановлює контакт із сервером C2 («simonandschuster[.]shop»).

«Впроваджуючи перевірки на основі місцеперебування під час завантаження корисного навантаження, зловмисник прагне замаскувати підозрілу активність, потенційно вислизаючи від уваги аналітиків», — сказала Лін. «Використовуючи закодовані рядки, VBA приховує важливі рядки імпорту, полегшуючи розгортання DLL-файлів для збереження та розшифрування подальшого корисного навантаження».

«Крім того, функція самознищення сприяє тактиці ухилення, в той час, як інжектор DLL використовує тактику затримки й завершує батьківські процеси, щоб уникнути пісочниці та механізмів захисту від налагодження відповідно», — додала дослідниця Fortinet FortiGuard Labs.

Читайте головні IT-новини країни в нашому Telegram
Читайте головні IT-новини країни в нашому Telegram
По темi
Читайте головні IT-новини країни в нашому Telegram
Хакери атакують українські підприємства через програму для віддаленого управління компютерами SuperOps RMM. Ось як убезпечитися
Хакери атакують українські підприємства через програму для віддаленого управління комп’ютерами SuperOps RMM. Ось як убезпечитися
По темi
Хакери атакують українські підприємства через програму для віддаленого управління комп’ютерами SuperOps RMM. Ось як убезпечитися
У другій половині 2023 року російські хакери атакували Україну в середньому близько 240 разів на місяць. Куди були спрямовані кібератаки
У другій половині 2023 року російські хакери атакували Україну в середньому близько 240 разів на місяць. Куди були спрямовані кібератаки
По темi
У другій половині 2023 року російські хакери атакували Україну в середньому близько 240 разів на місяць. Куди були спрямовані кібератаки
У Києві проросійські хакери створили потужні ботоферми для розповсюдження дезінформації
У Києві проросійські хакери створили потужні ботоферми для розповсюдження дезінформації
По темi
У Києві проросійські хакери створили потужні ботоферми для розповсюдження дезінформації
Читайте також
«Росіяни завжди хочуть когось трахнути». Микита Книш розповів FT, як українські хакери видавали себе за дівчат, зламували камери відеоспостереження та россайти заради перемоги
«Росіяни завжди хочуть когось трахнути». Микита Книш розповів FT, як українські хакери видавали себе за дівчат, зламували камери відеоспостереження та россайти заради перемоги
«Росіяни завжди хочуть когось трахнути». Микита Книш розповів FT, як українські хакери видавали себе за дівчат, зламували камери відеоспостереження та россайти заради перемоги
Видання Financial Times опублікувало статтю про роботу українських хакерів у війні проти рф, засновану на розмові з українським білим хакером Микитою Книшем. Він, як і сотні інших хакерів, допомагає боротися із російськими загарбниками в кіберпросторі. Наводимо адаптований переклад матеріалу. 
Проросійські хакери Killnet оголосили «війну» 10 державам, які підтримують Україну. Що про це пише Wired
Проросійські хакери Killnet оголосили «війну» 10 державам, які підтримують Україну. Що про це пише Wired
Проросійські хакери Killnet оголосили «війну» 10 державам, які підтримують Україну. Що про це пише Wired
Чергова кібератака на держустанови відбулася під виглядом вакансій і вкомплектування військових від шкідника Cobalt Strike Beacon
Чергова кібератака на держустанови відбулася під виглядом вакансій і вкомплектування військових від шкідника Cobalt Strike Beacon
Чергова кібератака на держустанови відбулася під виглядом вакансій і вкомплектування військових від шкідника Cobalt Strike Beacon
Випадково відкрив посилання з вірусом. Що робити? Ось інструкція
Випадково відкрив посилання з вірусом. Що робити? Ось інструкція
Випадково відкрив посилання з вірусом. Що робити? Ось інструкція

Хочете повідомити важливу новину? Пишіть у Telegram-бот

Головні події та корисні посилання в нашому Telegram-каналі

Обговорення
Коментарів поки немає.